×

Son Yazılar

Active Directory'de MSA kurulumunu gösteren modern bir illüstrasyon, PowerShell komutlarıyla
Active Directory

Active Directory’de MSA Kurulumu ve Kullanımı

Active Directory’de Yönetilen Hizmet Hesapları (MSA) oluşturmak, sistem yöneticilerinin hizmetler ve uygulamalar için daha güvenli bir ortam sağlamalarına yardımcı olur. Bu yazıda, Active Directory’de yönetilen hizmet hesaplarını nasıl kuracağınızı ve kullanacağınızı adım adım anlatacağım.

Yönetilen Hizmet Hesapları (MSA) ile Normal Hizmet Hesapları Arasındaki Farklar

Yönetilen hizmet hesapları (MSA) ve normal hizmet hesapları arasında bazı önemli farklılıklar bulunmaktadır. Her iki tür hesap da farklı senaryolarda kullanılmaktadır ve sistem yöneticilerinin işlerini kolaylaştırmak ve güvenliği artırmak için tasarlanmıştır.

Yönetilen Hizmet Hesapları (MSA)

  • Windows sunucularında hizmetler, uygulamalar veya görevleri çalıştırmak için özel olarak tasarlanmış bir tür Active Directory hesabıdır.
  • Parolalar varsayılan olarak her 30 günde bir otomatik olarak oluşturulur ve değiştirilir.
  • Grup yönetilen hizmet hesapları (gMSA) yapılandırılmadığı sürece yalnızca bir bilgisayarda kullanılabilir.
  • Normal hizmet hesaplarına göre daha yüksek güvenlik sağlar.

Normal Hizmet Hesapları

  • Bir hizmet veya zamanlanmış görevi çalıştırmak için kullanılan standart Active Directory kullanıcı hesaplarıdır.
  • Parolayı manuel olarak ayarlamanız ve yönetmeniz gerekir.
  • Varsayılan olarak birden fazla bilgisayarda kullanılabilir.
  • Parolalar genellikle süresiz olarak ayarlanır ve nadiren değiştirilir, bu da güvenlik riskini artırır.

Grup Yönetilen Hizmet Hesapları (gMSA)

  • gMSA’lar, birden fazla bilgisayarın aynı yönetilen hizmet hesabını kullanmasına izin vererek MSA’ların işlevselliğini genişletir.

Gereksinimler

  • Windows Server 2008 R2 veya daha yeni bir sürüm üzerinde çalışan bir Etki Alanı Denetleyicisi
  • Windows PowerShell için Active Directory modülü
  • MSA kullanacak bilgisayarın etki alanına katılmış bir bilgisayar olması gerekir

Yönetilen hizmet hesaplarına geçmeden önce, mevcut tüm hizmet hesaplarını tespit etmek ve nerede kullanıldıklarını bulmak isteyebilirsiniz.

Yönetilen Hizmet Hesapları (MSA) Nasıl Oluşturulur ve Kullanılır

Adım 1: KDS Kök Anahtarını Oluşturun

Etki alanı denetleyicileri, hizmet hesapları için benzersiz parolalar oluşturmak amacıyla kullanılan bir kök anahtara ihtiyaç duyar. Bu anahtar, etki alanı denetleyicilerinde Anahtar Dağıtım Hizmeti (KDS) tarafından, gMSA’lar ve MSA’lar için aynı parolaları oluşturmak ve saklamak amacıyla kullanılır.

Add-KdsRootKey –EffectiveImmediately

KDS kök anahtarının başarıyla oluşturulduğunu kontrol etmek için aşağıdaki komutu çalıştırın.

Get-KdsRootKey

Adım 2: Yönetilen Hizmet Hesabı Oluşturun

Yönetilen bir hizmet hesabı oluşturmak için aşağıdaki komutu çalıştırın. test ifadesini hesap için benzersiz bir adla değiştirin, dc1 ifadesini ise etki alanı denetleyicinizin ana bilgisayar adıyla değiştirin.

New-ADServiceAccount -Name test -DNSHostName dc1

Adım 3: Yeni Hizmet Hesabını Active Directory’de Bir Bilgisayara Bağlayın

Hizmet hesabının çalışabileceği etki alanı bilgisayarını belirtmeniz gerekir. Bilgisayarı bir hizmet hesabıyla ilişkilendirmek için aşağıdaki komutu kullanın.

add-adcomputerserviceaccount -identity <bilgisayar adı> -serviceaccount <hizmet hesabı adı>

Adım 4: MSA’yı Bilgisayara Kurun

Hizmet hesabını ilişkilendirdiğiniz bilgisayara giriş yapın ve aşağıdaki komutu çalıştırın.

Install-ADServiceAccount -Identity <hizmet hesabı adı>

Adım 5: Windows Hizmetini Yeni Yönetilen Hizmet Hesabını Kullanacak Şekilde Ayarlayın

Windows Hizmetlerini açın, yeni yönetilen hizmet hesabını kullanmasını istediğiniz hizmeti bulun ve düzenleyin. “Log On” sekmesine tıklayın ve hesabı seçin. Parola alanını boş bırakın, çünkü bu hesap tarafından yönetilecektir.

Sık Sorulan Sorular

Yönetilen hizmet hesapları neden daha güvenlidir?

Yönetilen hizmet hesapları, parolaları otomatik olarak oluşturup değiştirdiği için güvenliği artırır.

Birden fazla bilgisayarda aynı yönetilen hizmet hesabını nasıl kullanabilirim?

Grup yönetilen hizmet hesapları (gMSA) kullanarak aynı hesabı birden fazla bilgisayarda kullanabilirsiniz.

KDS kök anahtarının oluşturulması neden 10 saat sürebilir?

Kök anahtar, tüm etki alanı denetleyicilerine çoğaltılmalıdır ve bu işlem belirli bir süre alabilir.

Sonraki Adım

Şimdi, yönetilen hizmet hesaplarını Active Directory’nizde uygulamaya başlayarak sistem güvenliğinizi artırabilirsiniz. Daha fazla bilgi edinmek ve sisteminizi daha da güvenli hale getirmek için diğer makalelerimize göz atmayı unutmayın.

Kaynak: Active Directory – Create Managed Service Accounts in Active Directory
Dağcan Nural

1988 İstanbul doğumluyum. Bilgisayar dünyasına olan hayranlığım çok küçük yaşlarda başladı. Bu sebeple sistem alanında kendimi geliştirmeye karar verdim. Celal Bayar Üniversitesi Bilgisayar Programcılığı ve Anadolu Üniversitesi İşletme mezunuyum. Beykent Üniversitesi'nde Yönetim Bilişim Sistemleri Bölümü'nde yüksek lisans eğitimimi tamamladım. 2005 yılında Bilge Adam Sistem & Network Mühendisliği eğitimi aldım. Hemen ardından IT dünyasına giriş yaptım. Collezione şirketinde 2006 - 2018 yılları arasında Sistem Uzmanı olarak görev yaptım. 2018 Temmuz ayından beri LCWAIKIKI şirketinde System Engineer pozisyonunda çalışmaktayım. Sektörde 19 yıllık deneyime sahibim. Birçok önemli projede görev aldım. Sayfanın en alt kısmından Linkedin profilime ulaşabilirsiniz. Bilgi ve tecrübemi hem bu blog üzerinde hem de Çözümpark Bilişim Portalı üzerinde paylaşıyorum.

view all posts

Related Posts

Yorum gönder