×

Son Yazılar

Active Directory'de MSAs yönetimi, bilgisayar terminali ve PowerShell komutları
Active Directory

Active Directory’de Yönetilen Hizmet Hesapları Nasıl Kullanılır?

Active Directory’de Yönetilen Hizmet Hesapları (Managed Service Accounts – MSAs) oluşturmak, sistem yöneticileri için güvenlik ve yönetim kolaylığı sağlar. Yönetilen hizmet hesapları, parolaların otomatik olarak oluşturulup döndürülmesi gibi birçok avantaj sunar. Bu yazıda, Active Directory’de nasıl yönetilen hizmet hesapları oluşturulacağını ve kullanılacağını ele alacağız.

Yönetilen Hizmet Hesapları (MSAs) ve Normal Hizmet Hesapları

Yönetilen hizmet hesapları ve normal hizmet hesapları arasındaki farkları anlamak, hangi tür hesabın ihtiyaçlarınıza uygun olduğunu belirlemenizde yardımcı olabilir.

  • Yönetilen Hizmet Hesapları (MSAs):
    • Windows sunucularında hizmet, uygulama veya görev çalıştırmak için tasarlanmış özel Active Directory hesaplarıdır.
    • Parolalar otomatik olarak oluşturulur ve varsayılan olarak her 30 günde bir döndürülür.
    • Grup yönetilen hizmet hesapları (gMSAs) yapılandırılmadıkça yalnızca bir bilgisayarda kullanılabilir.
    • Normal hizmet hesaplarına kıyasla varsayılan olarak daha güvenlidir.
  • Normal Hizmet Hesapları:
    • Hizmet veya zamanlanmış görev çalıştırmak için kullanılan normal Active Directory kullanıcı hesaplarıdır.
    • Parolalar manuel olarak ayarlanır ve yönetilir.
    • Varsayılan olarak birden fazla bilgisayarda kullanılabilir.
    • Parolalar genellikle hiç değişmez ve bu durum güvenlik riskini artırır.
    • Genellikle kötü yönetilir ve nerede kullanıldıklarını takip etmek zordur.
  • Grup Yönetilen Hizmet Hesapları (gMSAs):
    • gMSAs, aynı yönetilen hizmet hesabını birden fazla bilgisayarın kullanmasına olanak tanıyarak MSAs’in işlevselliğini genişletir.

Gereksinimler

  • Windows Server 2008 R2 veya daha yeni bir sürümünü çalıştıran bir Etki Alanı Denetleyicisi
  • Windows PowerShell için Active Directory modülü
  • MSA kullanan bilgisayarın etki alanına katılmış olması gerekiyor

Yönetilen hizmet hesaplarına geçmeden önce, mevcut tüm hizmet hesaplarını tanımlamak isteyebilirsiniz. Bu, ortamınızda bu hesapların nerede kullanıldığını belirlemenize yardımcı olacaktır.

Yönetilen Hizmet Hesapları (MSAs) Nasıl Oluşturulur ve Kullanılır?

Adım 1: KDS Root Anahtarını Oluşturun

Etki alanı denetleyicileri, hizmet hesapları için benzersiz parolalar oluşturmak amacıyla bir root anahtarına ihtiyaç duyar. Bu anahtar, Etki Alanı Denetleyicilerinde anahtar dağıtım servisi (KDS) tarafından kullanılır. Bu işlemi gerçekleştirmek için, etki alanı denetleyicinizde PowerShell açın ve aşağıdaki komutu çalıştırın:

Add-KdsRootKey –EffectiveImmediately

Anahtarın tüm etki alanı denetleyicilerine çoğaltılması 10 saate kadar sürebilir.

Get-KdsRootKey

Adım 2: Yönetilen Hizmet Hesabı Oluşturun

Yönetilen bir hizmet hesabı oluşturmak için aşağıdaki komutu çalıştırın. “test” kelimesini hesap için benzersiz bir ad ile ve “dc1” kelimesini etki alanı denetleyicinizin ana bilgisayar adı ile değiştirin:

New-ADServiceAccount -Name test -DNSHostName dc1

Eğer “New-ADServiceAccount: Key does not exist” hatası alırsanız, bu durum KDS’in henüz root anahtarına sahip olmadığını gösterir. Anahtarın tüm DC’lere çoğaltılması için 10 saate kadar beklemeniz gerekebilir.

Hesap başarıyla oluşturulduktan sonra, yönetilen hizmet hesapları şu konumda bulunur:

CN=Managed Service Accounts,DC=sizinalaniniz,DC=com

get-adserviceaccount <name>

Adım 3: Yeni Hizmet Hesabını Active Directory’de Bir Bilgisayarla İlişkilendirin

Hizmet hesabının hangi etki alanı bilgisayarında çalışacağını belirtmelisiniz. Bilgisayarı bir hizmet hesabı ile ilişkilendirmek için aşağıdaki komutu kullanın:

add-adcomputerserviceaccount -identity <bilgisayar adı> -serviceaccount <hizmet hesabı adı>

Adım 4: MSA’yı Bilgisayara Kurun

Hizmet hesabını ilişkilendirdiğiniz bilgisayara giriş yapın ve aşağıdaki komutu çalıştırın:

Install-ADServiceAccount -Identity <hizmet hesabı adı>

Eğer “Install-ADServiceAccount: Cannot install service account. Error Message: ‘{Access Denied} A process has requested access to an object, but has not been granted those access rights.’” hatası alırsanız, bu durum MSA’nın bilgisayarla henüz ilişkilendirilmediğini gösterir. Bu sorunu çözmek için aşağıdaki komutu çalıştırın:

Set-ADServiceAccount <hizmet hesabı adı> -PrincipalsAllowedToRetrieveManagedPassword <bilgisayar adı>

İzinleri doğrulamak için şu komutu kullanabilirsiniz. Bilgisayar, PrincipalsAllowedToRetrieveManagedPassword özelliğinde listelenmelidir:

Get-ADServiceAccount <hizmet hesabı adı> -Property PrincipalsAllowedToRetrieveManagedPassword

Adım 5: Windows Hizmeti Yeni Yönetilen Hizmet Hesabını Kullanacak Şekilde Ayarlayın

Windows Hizmetlerini açın, yeni yönetilen hizmet hesabını kullanmak istediğiniz hizmeti bulun ve düzenleyin. “Giriş Yap” sekmesine tıklayın ve hesabı seçin. Parola alanını boş bırakın çünkü bu, hizmet hesabı tarafından yönetilecektir.

Uygula ve Tamam’a tıklayın. Etkinin geçerli olması için hizmeti durdurup başlatmanız gerekebilir.

Böylece tamamladınız! Yönetilen hizmet hesaplarının parolaları otomatik olarak değiştirilecek ve her 30 günde bir döndürülecektir. Aynı yönetilen hizmet hesabını birden fazla bilgisayarda kullanmak istiyorsanız, Grup Yönetilen Hizmet Hesaplarını kullanmanız gerekecektir. Bunu ayrı bir yazıda ele alacağım.

Sık Sorulan Sorular

Yönetilen Hizmet Hesapları neden daha güvenlidir?

Yönetilen Hizmet Hesapları, parolaların otomatik olarak döndürülmesini sağlar, böylece manuel müdahale gerektirmez ve güvenlik risklerini azaltır.

gMSAs nedir ve nasıl çalışır?

gMSAs, birden fazla bilgisayarın aynı yönetilen hizmet hesabını kullanmasına olanak tanır. Bu, büyük ortamlarda hesap yönetimini kolaylaştırır.

Hizmet hesabı kurulumu sırasında neden “Access Denied” hatası alıyorum?

Bu hata, hizmet hesabının bilgisayarla ilişkilendirilmediğini gösterir. İlgili komutu çalıştırarak bu ilişkilendirmeyi yapabilirsiniz.

MSA parolaları ne sıklıkta değiştirilir?

MSA parolaları varsayılan olarak her 30 günde bir otomatik olarak değiştirilir.

Sonraki Adım

Yönetilen hizmet hesaplarını etkin bir şekilde kullanmaya başlamak için, mevcut hizmet hesaplarınızı değerlendirin ve uygun olanları MSA’larla değiştirin. Ayrıca, gMSAs hakkında daha fazla bilgi edinerek daha geniş bir yapılandırma planı oluşturabilirsiniz.

Kaynak: Active Directory – Create Managed Service Accounts in Active Directory
Dağcan Nural

1988 İstanbul doğumluyum. Bilgisayar dünyasına olan hayranlığım çok küçük yaşlarda başladı. Bu sebeple sistem alanında kendimi geliştirmeye karar verdim. Celal Bayar Üniversitesi Bilgisayar Programcılığı ve Anadolu Üniversitesi İşletme mezunuyum. Beykent Üniversitesi'nde Yönetim Bilişim Sistemleri Bölümü'nde yüksek lisans eğitimimi tamamladım. 2005 yılında Bilge Adam Sistem & Network Mühendisliği eğitimi aldım. Hemen ardından IT dünyasına giriş yaptım. Collezione şirketinde 2006 - 2018 yılları arasında Sistem Uzmanı olarak görev yaptım. 2018 Temmuz ayından beri LCWAIKIKI şirketinde System Engineer pozisyonunda çalışmaktayım. Sektörde 19 yıllık deneyime sahibim. Birçok önemli projede görev aldım. Sayfanın en alt kısmından Linkedin profilime ulaşabilirsiniz. Bilgi ve tecrübemi hem bu blog üzerinde hem de Çözümpark Bilişim Portalı üzerinde paylaşıyorum.

view all posts

Related Posts

Yorum gönder