Active Directory üzerinde Yönetilen Hizmet Hesapları (Managed Service Accounts – MSAs) oluşturmak, güvenliği artırmak ve hizmet hesaplarının yönetimini kolaylaştırmak isteyen sistem yöneticileri için önemli bir adımdır. Bu makalede, MSAs oluşturmanın ve kullanmanın adımlarını inceleyeceğiz.

Yönetilen Hizmet Hesapları (MSAs) ve Normal Hizmet Hesapları

• Yönetilen Hizmet Hesapları (MSAs):
  • Windows sunucularında hizmet, uygulama veya görev çalıştırmak için tasarlanmış özel Active Directory hesaplarıdır.
  • Şifreler otomatik olarak oluşturulur ve varsayılan olarak her 30 günde bir değiştirilir.
  • Grup yönetilen hizmet hesapları (gMSAs) yapılandırılmadıkça yalnızca bir bilgisayarda kullanılabilir.
  • Daha güvenlidirler.
• Normal Hizmet Hesapları:
  • Hizmet veya zamanlanmış görev çalıştırmak için kullanılan standart Active Directory kullanıcı hesaplarıdır.
  • Şifreler manuel olarak ayarlanır ve yönetilir.
  • Varsayılan olarak birden fazla bilgisayarda kullanılabilir.
  • Şifreler genellikle sonsuza kadar geçerli olarak ayarlanır ve nadiren değiştirilir, bu da güvenlik riskini artırır.
  • Çoğu zaman kötü yönetilir ve nerede kullanıldığı takip edilmesi zordur.
• Grup Yönetilen Hizmet Hesapları (gMSAs):
  • gMSAs, birden fazla bilgisayarın aynı yönetilen hizmet hesabını kullanmasına izin vererek MSAs işlevselliğini genişletir.

Gereksinimler

• Windows Server 2008 R2 veya daha sonraki bir sürümü çalıştıran bir Etki Alanı Denetleyicisi
• Windows PowerShell için Active Directory modülü
• MSA kullanan bilgisayarın etki alanına katılmış bir bilgisayar olması gerekmektedir

Yönetilen hizmet hesaplarına geçmeden önce, mevcut hizmet hesaplarını tanımlamanız ve bunların nerede kullanıldığını bulmanız yararlı olabilir.

Yönetilen Hizmet Hesapları (MSAs) Nasıl Oluşturulur ve Kullanılır

Adım 1: KDS Root Anahtarını Oluşturun

Etki alanı denetleyicileri, hizmet hesapları için benzersiz şifreler oluşturmak üzere kullanılan bir kök anahtara ihtiyaç duyar. Bu, etki alanı denetleyicilerinde Key Distribution Service (KDS) tarafından kullanılır.

Add-KdsRootKey –EffectiveImmediately

Anahtarın başarılı bir şekilde oluşturulduğunu kontrol etmek için aşağıdaki komutu çalıştırın.

Get-KdsRootKey

Adım 2: Yönetilen Hizmet Hesabı Oluşturun

Yönetilen bir hizmet hesabı oluşturmak için aşağıdaki komutu çalıştırın. Hesap için benzersiz bir ad girin ve etki alanı denetleyicinizin ana bilgisayar adını belirtin.

New-ADServiceAccount -Name test -DNSHostName dc1

Komut çalışırsa, sizi tekrar komut istemine geri götürür. Yönetilen hizmet hesapları aşağıdaki yolda oluşturulur:

CN=Managed Service Accounts,DC=yourdomain,DC=com

Ayrıca, oluşturduğunuz hizmet hesabı hakkında detayları görüntülemek için aşağıdaki komutu çalıştırabilirsiniz.

get-adserviceaccount <name>

Adım 3: Yeni Hizmet Hesabını Active Directory’de Bir Bilgisayarla İlişkilendirin

Hizmet hesabının çalışabileceği etki alanı bilgisayarını belirtmelisiniz. Bilgisayar ile hizmet hesabını ilişkilendirmek için aşağıdaki komutu kullanın.

add-adcomputerserviceaccount -identity <computer name> -serviceaccount <service account name>

Adım 4: Bilgisayara MSA Kurulumu

Hizmet hesabını ilişkilendirdiğiniz bilgisayara giriş yapın ve aşağıdaki komutu çalıştırın.

Install-ADServiceAccount -Identity <service account name>

Eğer “Install-ADServiceAccount: Cannot install service account. Error Message: ‘{Access Denied}” hatası alırsanız, MSA’nın bilgisayarla ilişkilendirilmediği anlamına gelir. Bunu düzeltmek için aşağıdaki komutu çalıştırın.

Set-ADServiceAccount <service account name> -PrincipalsAllowedToRetrieveManagedPassword <computer name>

İzinleri bu komutla doğrulayabilirsiniz. Bilgisayar, PrincipalsAllowedToRetrieveManagedPassword özelliğinde listelenmelidir.

Get-ADServiceAccount <service account name> -Property PrincipalsAllowedToRetrieveManagedPassword

Adım 5: Windows Hizmetini Yeni Yönetilen Hizmet Hesabı ile Kullanmak İçin Ayarlayın

Windows Hizmetlerini açın, yeni yönetilen hizmet hesabını kullanmak istediğiniz hizmeti bulun ve düzenleyin. “Log On” kısmına tıklayın ve hesabı seçin. Şifre alanını boş bırakın çünkü bu, hizmet hesabı tarafından yönetilecektir.

Uygula ve Tamam’a tıklayın. Hizmetin etkili olması için durdurup başlatmanız gerekebilir.

İşte bu kadar!

Yönetilen hizmet hesaplarının şifresi otomatik olarak her 30 günde bir değiştirilir. Aynı yönetilen hizmet hesabını birden fazla bilgisayarda kullanmak istiyorsanız, Grup Yönetilen Hizmet Hesaplarını (gMSAs) kullanmanız gerekecektir.

Sık Sorulan Sorular

Yönetilen Hizmet Hesapları nedir?

Yönetilen Hizmet Hesapları, Windows sunucularında hizmet veya uygulama çalıştırmak için tasarlanmış özel Active Directory hesaplarıdır.

MSAs neden daha güvenli?

MSAs, şifrelerini otomatik olarak günceller ve belirli bilgisayarlarla sınırlı kullanıma izin verir, bu da güvenlik risklerini azaltır.

MSAs, birden fazla bilgisayarda kullanılabilir mi?

Evet, ancak bunun için Grup Yönetilen Hizmet Hesapları (gMSAs) yapılandırılması gerekir.

Sonraki Adım

Yönetilen Hizmet Hesaplarının avantajlarından yararlanmak için hemen Active Directory üzerinde bir MSA oluşturmayı ve gerekli konfigürasyonları yapmayı deneyin. Daha fazla bilgi için ilgili makalelere göz atabilirsiniz.

---

Kaynak: Active Directory – Create Managed Service Accounts in Active Directory