none
Служебные учетки MCA, gMCA RRS feed

  • Вопрос

  • В настоящее время в AD есть несколько Подразделений вида (OU)

    Infrastructure -- Main -- Srv

    В нем OU (условно)

    Srv -- Server1..n

    Srv -- Server2..n

    Во всех этих OU созданы служебные учетки типа gMCA, + именно с привязкой к OU.

    На самих серверах, кот.в этом OU в качестве старта авторизации служб все работает. На других нет, проверял.

    Недавно задавал похожий вопрос, но он там был вторичным, если надо - посмотрите в истории запросов.

    Но ответа не получил однозначного.

    Чистой теории вопросы:

    1. Надо ли включать такую запись (группу gMCA в OU в кот. сервер) в гр. адм. на локальном сервере?

    2. Если не включать, то какие у нее вообще права е? И где посмотреть?

    3. Если явно (п.1) скорее всего добавляется в gpedit.msc. локальный в лок. политики, "разрешить вход в качестве задания"?

    Где бы подробней почитать? А то у нас аудит скоро, который много вопросов задает, и любая УЗ в группе адм. для них как красная тряпка.

    27 февраля 2019 г. 19:39

Ответы

  • gMSA вообще привязываются к сервисам для ферм из нескольких хостов (например ферма ADFS или WEB NLB). После привязки к сервису автоматически получает право "Log On As a Service". Что касается предоставления админских прав для этой УЗ, то нужен RTFM, например для того же ADFS права локального админа этой УЗ не нужны.

    Вам нужно в службах на хостах посмотреть - где какие gMSA у вас используются и исходить уже от этого.

    • Помечено в качестве ответа GuSoft 28 февраля 2019 г. 8:56
    28 февраля 2019 г. 6:09

Все ответы

  • gMSA вообще привязываются к сервисам для ферм из нескольких хостов (например ферма ADFS или WEB NLB). После привязки к сервису автоматически получает право "Log On As a Service". Что касается предоставления админских прав для этой УЗ, то нужен RTFM, например для того же ADFS права локального админа этой УЗ не нужны.

    Вам нужно в службах на хостах посмотреть - где какие gMSA у вас используются и исходить уже от этого.

    • Помечено в качестве ответа GuSoft 28 февраля 2019 г. 8:56
    28 февраля 2019 г. 6:09
  • Начните с этого Get-ADServiceAccount

    Здесь вопрос скорее не безопасности, а знания для чего нужны сервисные учётные записи. Поняв это, вопрос по безопасности решится сам.

    28 февраля 2019 г. 7:31
    Модератор