Mise en place de comptes gMSA

Bonjour à tous,

Voici un nouvel article sur la mise en place de comptes gMSA.

Habituellement, nous utilisons tous des comptes de services avec mots de passe.

Qui dit mot de passe, dit problème potentiel de piratage ! Sachant que les mots de passe des comptes de services ne sont en règle générale jamais changés car cela demande beaucoup de temps.

Pour pallier à ces problèmes de motsde passe sur les comptes de services, Microsoft a d’abord sorti les comptes MSA avec Windows 2008.

Les gMSA (« Group Managed Service Accounts ») sont ensuite apparus avec Windows Server 2012, lesquels sont une amélioration des comptes MSA permettant l’utilisation d’un compte sur un seul et unique ordinateur.

Les comptes MSA ne permettaient pas d’utiliser un seul compte pour plusieurs ordinateurs.

Les comptes MSA n’étaient supportés que pour quelques applications.

gMSA est un compte de services associé à un groupe de sécurité dans lequel seront ajoutés les ordinateurs autorisés à utiliser ce compte.

Les comptes gMSA sont compatibles avec les applications ci-dessous:
  • Sur plusieurs machines
  • Pour des tâches planifiées
  • Pour IIS, ADFS, SQL Server, …
  • Pour des services Windows

1. Créer des comptes gMSA

Pour pouvoir créer des comptes gMSA, il faudra générer la clé racine KDS  de Distribution des clés Services.

Pour cela, lancer une console PowerShell et exécuter le code PowerShell ci-dessous:

Cette clé sera ensuite répliquée sur l’ensemble des contrôleurs de domaine. Par sécurité, il est nécessaire d’attendre 10H pour s’assurer que tout est bien répliqué.

Nous allons maintenant pouvoir créer nos gMSA.

Deux possibilités pour créer ces comptes:

  • Avec l’outil graphique “Managed service accounts GUI” téléchargeable ici.
  • PowerShell

a. Managed service accounts GUI :

Il vous suffit simplement d’ajouter le nouveau compte avec “New”

Donnez-lui un nom et choisissez l’OU dans votre Active Directory où vous souhaitez le stocker.

Votre compte est maintenant créé.

Pour que ce compte fonctionne, il faudra l’attribuer à l’ordinateur autorisé à l’utiliser.

Le compte gMSA peut maintenant être utilisé sur le serveur.

On va également vérifier la présence du compte dans l’Active Directory.

b. PowerShell :


Idem en PowerShell, mais dans cet exemple, nous allons attribuer un groupe d’ordinateurs au compte gMSA.



Sur notre serveur autorisé à utiliser notre compte gMSA , nous allons enfin, configurer le service concerné (dans notre exemple un service “SQL“).

Dans cet article, nous avons pu voir la mise en place de comptes gMSA qui apportent beaucoup plus de sécurité qu’un compte de services avec mots de passe.

Je vous dis à très bientôt.

About the Author

Franck FOUCHE

Je suis lead consultant sur la partie Active Directory , Messagerie, Office 365….

No Comments

Laisser un commentaire