×

Son Yazılar

Active Directory yönetilen servis hesapları yönetimi, sistem yöneticisi, sunucular ve ağ elemanları
Active Directory

Active Directory’de Yönetilen Servis Hesapları Rehberi

Active Directory’de yönetilen servis hesapları (Managed Service Accounts) oluşturmak, sistem yöneticileri için güvenliği artırmanın ve yönetimi kolaylaştırmanın harika bir yoludur. Peki, bu hesapları nasıl oluşturur ve kullanırsınız? İşte adım adım rehberimiz.

Yönetilen Servis Hesapları (MSAs) ve Standart Servis Hesapları Karşılaştırması

  • Yönetilen Servis Hesapları (MSAs)
    • Windows sunucusunda hizmetler, uygulamalar veya görevleri çalıştırmak için özel olarak tasarlanmış Active Directory hesaplarıdır.
    • Parolalar otomatik olarak oluşturulur ve varsayılan olarak her 30 günde bir döndürülür.
    • Group Managed Service Accounts (gMSAs) yapılandırılmadıkça yalnızca bir bilgisayarda kullanılabilir.
    • Standart servis hesaplarına göre varsayılan olarak çok daha güvenlidir.
  • Standart Servis Hesapları
    • Bir hizmet veya zamanlanmış görev çalıştırmak için kullanılan normal Active Directory kullanıcı hesaplarıdır.
    • Parolayı manuel olarak ayarlayıp yönetirsiniz.
    • Varsayılan olarak birden fazla bilgisayarda kullanılabilir.
    • Parolalar genellikle hiç sona ermeyecek şekilde ayarlanır ve nadiren değiştirilir (güvenlik riski artar).
  • Group Managed Service Accounts (gMSAs)
    • gMSAs, birden fazla bilgisayarın aynı yönetilen servis hesabını kullanmasına izin vererek MSAs işlevselliğini genişletir.

Gereksinimler

  • Windows Server 2008 R2 veya üstü bir Domain Controller
  • Windows PowerShell için Active Directory modülü
  • MSA kullanacak bilgisayarın domain’e katılmış olması gerekir

Yönetilen servis hesaplarına geçmeden önce, mevcut tüm servis hesaplarını belirlemek isteyebilirsiniz. Çevrenizde nerede kullanıldıklarını bulmak önemlidir.

Yönetilen Servis Hesapları (MSAs) Nasıl Oluşturulur ve Kullanılır

Adım 1: KDS Root Key Oluşturma

Domain controller’lar, servis hesapları için benzersiz parolalar oluşturmak amacıyla bir root key gerektirir. Bu, ağ üzerindeki gMSAs ve MSAs için aynı parolaların oluşturulmasını ve muhafaza edilmesini sağlar. Aşağıdaki komutu çalıştırarak bir root key oluşturun:

Add-KdsRootKey –EffectiveImmediately

Root key’in başarıyla oluşturulduğunu kontrol etmek için:

Get-KdsRootKey

Adım 2: Yönetilen Servis Hesabı Oluşturma

Yönetilen bir servis hesabı oluşturmak için aşağıdaki komutu çalıştırın. ‘test’ yerine hesap için benzersiz bir isim, ‘dc1’ yerine ise domain controller’ın hostname’ini yazın:

New-ADServiceAccount -Name test -DNSHostName dc1

Eğer “New-ADServiceAccount: Key does not exist” hatası alırsanız, root key henüz tüm DC’lere replike olmamıştır. 10 saate kadar beklemeniz gerekebilir.

Adım 3: Yeni Servis Hesabını Active Directory’de Bir Bilgisayarla İlişkilendirme

Servis hesabının hangi domain bilgisayarda çalışabileceğini belirtmelisiniz. Aşağıdaki komutu kullanın:

add-adcomputerserviceaccount -identity  -serviceaccount

Adım 4: Bilgisayara MSA Kurulumu

Servis hesabıyla ilişkilendirdiğiniz bilgisayara giriş yapın ve aşağıdaki komutu çalıştırın:

Install-ADServiceAccount -Identity

Eğer aşağıdaki gibi bir hata alırsanız, MSA bilgisayarla ilişkilendirilmemiştir. Aşağıdaki komutla düzeltin:

Set-ADServiceAccount  -PrincipalsAllowedToRetrieveManagedPassword

Adım 5: Windows Servisini Yeni Yönetilen Servis Hesabını Kullanacak Şekilde Ayarlama

Windows Hizmetlerini açın, yeni yönetilen servis hesabını kullanmak istediğiniz hizmeti bulun ve düzenleyin. “Log On” seçeneğine tıklayın ve hesabı seçin. Parola alanını boş bırakın çünkü bu, servis hesabı tarafından yönetilecektir. Uygula ve Tamam’a tıklayın. Hizmeti durdurup başlatmanız gerekebilir.

Sık Sorulan Sorular

Yönetilen Servis Hesaplarının Avantajı Nedir?

Yönetilen servis hesapları, parolaların otomatik olarak yönetilmesini sağlar ve güvenlik risklerini azaltır.

gMSAs Kullanmanın Faydası Nedir?

gMSAs, aynı servis hesabının birden fazla bilgisayarda kullanılmasına olanak tanır, bu da büyük ağlarda yönetimi kolaylaştırır.

KDS Root Key Oluşturmanın Amacı Nedir?

KDS Root Key, yönetilen servis hesapları için benzersiz parolalar üretilmesini sağlar.

Yönetilen Servis Hesapları Hangi Windows Sürümlerinde Çalışır?

Windows Server 2008 R2 ve üzeri sürümlerde çalışır.

Sonraki Adım

Yönetilen servis hesaplarını kullanarak sistem güvenliğinizi artırabilirsiniz. Daha fazla bilgi için gMSAs yapılandırmasını araştırmak iyi bir başlangıç olabilir.

Kaynak: Active Directory – Create Managed Service Accounts in Active Directory
Dağcan Nural

1988 İstanbul doğumluyum. Bilgisayar dünyasına olan hayranlığım çok küçük yaşlarda başladı. Bu sebeple sistem alanında kendimi geliştirmeye karar verdim. Celal Bayar Üniversitesi Bilgisayar Programcılığı ve Anadolu Üniversitesi İşletme mezunuyum. Beykent Üniversitesi'nde Yönetim Bilişim Sistemleri Bölümü'nde yüksek lisans eğitimimi tamamladım. 2005 yılında Bilge Adam Sistem & Network Mühendisliği eğitimi aldım. Hemen ardından IT dünyasına giriş yaptım. Collezione şirketinde 2006 - 2018 yılları arasında Sistem Uzmanı olarak görev yaptım. 2018 Temmuz ayından beri LCWAIKIKI şirketinde System Engineer pozisyonunda çalışmaktayım. Sektörde 19 yıllık deneyime sahibim. Birçok önemli projede görev aldım. Sayfanın en alt kısmından Linkedin profilime ulaşabilirsiniz. Bilgi ve tecrübemi hem bu blog üzerinde hem de Çözümpark Bilişim Portalı üzerinde paylaşıyorum.

view all posts

Related Posts

Yorum gönder