gMSA

gMSA, servis account’larının güvenliğini sağlamak amacıyla kullanılan domain account’larıdır.

gMSA account’ları 240 baytlık random olarak oluşturulmuş, complex password’ler kullanır. Böylece brute force ataklarının password’leri ele geçirilme imkanını minimize eder.

gMSA’lar password’leri 30 günde bir değişir. Password yönetimi Windows işletim sistemi tarafından yapılır.

gMSA’lar aynı fonksiyona( işlevselliğe ) sahip birden çok sunucuda çalışarak load-balance işlemi yapabilir.

Windows 2008 R2 ve Windows 7 işletim sistemlerinde de çalışabilmektedir. Ancak bu işletim sistemleri not-supported durumundadır.

gMSA powershell komutları aşağıdaki gibidir.

Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount

bu hesaplar Active Directory Manage Service Accounts altında bulunmaktadır.

ADFS için gMSA oluşturma örneği aşağıdaki gibidir.

DC’de yapılması gerekenler;

Normal de 10 saat beklenmesi gerekiyor ancak aşağıdaki komut ile KDSRootKey aktif hale gelmektedir.

ADFS Sunucusunda yapılması gerekenler;

RSAT tool’unun feature’ların yüklenmesi gerekemektedir. (Remote Server Administration Tools – Role Administration Tools – AD DS and AD LDS Tools)

Not: oluşturulan GMSA hesabı hangi uygulama üzerinde çalışılacak ise oraya gMSA account name girilmesi yeterlidir.