(0) exportieren Drucken
Alle erweitern
2 von 3 fanden dies hilfreich - Dieses Thema bewerten.

Schrittweise Anleitung zu Dienstkonten (möglicherweise in englischer Sprache)

Letzte Aktualisierung: August 2010

Betrifft: Windows 7, Windows Server 2008 R2

Verwaltete Dienstkonten und virtuelle Konten sind zwei neue Kontotypen, die in Windows Server® 2008 R2 und Windows® 7 eingeführt wurden, um die Isolation und Verwaltung der Dienste für Netzwerkanwendungen wie Microsoft Exchange und Internetinformationsdienste (Internet Information Services, IIS) zu verbessern.

Diese schrittweise Anleitung enthält detaillierte Informationen zum Einrichten und Verwalten von verwalteten Dienstkonten und virtuellen Konten auf Clientcomputern unter Windows Server 2008 R2 und Windows 7. Inhalt dieses Dokuments:

  • Die Konzepte verwalteter Dienstkonten und virtueller Konten

  • Anforderungen für die Unterstützung von Clients und Domänencontrollern für verwaltete Dienstkonten und virtuelle Konten

  • Tools für das Konfigurieren und Verwalten von verwalteten Dienstkonten und virtuellen Konten

  • Schritte zum Konfigurieren und Verwalten von verwalteten Dienstkonten und virtuellen Konten

  • Verwenden virtueller Konten

  • Problembehandlung bei verwalteten Dienstkonten und virtuellen Konten

  • APIs (Application Programming Interfaces) für verwaltete Dienstkonten

Die Konzepte verwalteter Dienstkonten und virtueller Konten

Eine der Herausforderungen bei der Sicherheit wichtiger Netzwerkanwendungen wie Exchange und IIS liegt in der Auswahl des richtigen Kontotyps für die jeweilige Anwendung.

Auf einem lokalen Computer kann ein Administrator die Anwendung so konfigurieren, dass sie als lokaler Dienst, Netzwerkdienst oder lokales System ausgeführt wird. Diese Dienstkonten sind einfach zu konfigurieren und zu verwenden, werden jedoch in der Regel von mehreren Anwendungen und Diensten gemeinsam genutzt und können nicht auf einer Domänenebene verwaltet werden.

Wenn Sie die Anwendung für die Verwendung eines Domänenkontos konfigurieren, können Sie die Rechte für die Anwendung isolieren, müssen Kennwörter jedoch manuell verwalten oder eine benutzerdefinierte Lösung für die Verwaltung dieser Kennwörter erstellen. Zahlreiche Serveranwendungen verfolgen diese Strategie zur Verbesserung der Sicherheit. Die Strategie steigert jedoch den Verwaltungsaufwand und die Komplexität.

In diesen Bereitstellungen verbringen Administratoren von Diensten sehr viel Zeit mit Verwaltungsaufgaben wie dem Verwalten von Dienstkennwörtern und Dienstprinzipalnamen (Service Principal Names, SPNs), die für die Kerberos-Authentifizierung erforderlich sind. Darüber hinaus können diese Verwaltungsaufgaben zu Dienstunterbrechungen führen.

Die beiden neuen in Windows Server 2008 R2 und Windows 7 verfügbaren Kontotypen – das verwaltete Dienstkonto und das virtuelle Konto – wurden entwickelt, um die Isolierung der eigenen Konten in wichtigen Anwendungen wie Exchange oder IIS zu ermöglichen. Zugleich ist es nicht mehr erforderlich, dass ein Administrator den Dienstprinzipalnamen und die Anmeldeinformationen für diese Konten manuell verwaltet.

Verwaltete Dienstkonten sind unter Windows Server 2008 R2 und Windows 7 verwaltete Domänenkonten, die folgende Features zur Vereinfachung der Dienstverwaltung bieten:

  • Automatische Kennwortverwaltung

  • Vereinfachte Verwaltung von Dienstprinzipalnamen, einschließlich der Delegierung der Verwaltung an andere Administratoren Eine zusätzliche automatische Verwaltung von Dienstprinzipalnamen (SPN) ist auf der Windows Server 2008 R2-Domänenfunktionsebene verfügbar. Weitere Informationen finden Sie unter "Anforderungen für die Verwendung verwalteter Dienstkonten und virtueller Konten" in diesem Dokument.

Virtuelle Konten sind unter Windows Server 2008 R2 und Windows 7 verwaltete lokale Konten, die folgende Features zur Vereinfachung der Dienstverwaltung bieten:

  • Keine Kennwortverwaltung erforderlich

  • Möglichkeit des Netzwerkzugriffs mit einer Computeridentität in einer Domänenumgebung

Anforderungen für die Verwendung verwalteter Dienstkonten und virtueller Konten

Für die Verwendung verwalteter Dienstkonten und virtueller Konten muss auf dem Clientcomputer mit der Anwendung oder dem Dienst Windows Server 2008 R2 oder Windows 7 ausgeführt werden. Unter Windows Server 2008 R2 und Windows 7 kann ein verwaltetes Dienstkonto für Dienste auf einem einzelnen Computer verwendet werden. Verwaltete Dienstkonten können nicht von mehreren Computern gemeinsam genutzt und in Serverclustern, in denen ein Dienst auf mehrere Clusterknoten repliziert wird, verwendet werden.

Domänen auf der Windows Server 2008 R2-Funktionsebene bieten systemeigene Unterstützung für die automatische Kennwortverwaltung und die Verwaltung von Dienstprinzipalnamen. Wenn die Domäne auf der Windows Server 2003- oder Windows Server 2008-Funktionsebene ausgeführt wird, sind zusätzliche Konfigurationsschritte erforderlich, um verwaltete Dienstkonten zu unterstützen. Das bedeutet Folgendes:

  • Wenn die Domäne auf der Windows Server 2008 R2-Funktionsebene ausgeführt wird, wird die SPN-Verwaltung verwalteter Dienstkonten vereinfacht. In den folgenden vier Situationen ändert sich der DNS-Teil des Dienstprinzipalnamens des verwalteten Dienstkontos für alle verwalteten Dienstkonten, die auf dem Computer installiert sind, von "alterName.Domäne-DNS-Suffix.com" in "neuerName.Domäne-DNS-Suffix.com":

    • Die samaccountname-Eigenschaft des Computers wird geändert.

    • Der DNS-Name des Computers wird geändert.

    • Eine samaccountname-Eigenschaft wird für den Computer hinzugefügt.

    • Eine DNS-Host-Name-Eigenschaft wird für den Computer hinzugefügt.

  • Wenn sich der Domänencontroller auf einem Computer unter Windows Server 2008 oder Windows Server 2003 befindet, das Active Directory-Schema jedoch zur Unterstützung dieses Features auf Windows Server 2008 R2 aktualisiert wurde, können verwaltete Dienstkonten verwendet werden, und Dienstkontokennwörter werden automatisch verwaltet. Der Domänenadministrator, der diese Serverbetriebssysteme verwendet, muss jedoch weiterhin die Dienstprinzipalnamen-Daten für verwaltete Dienstkonten konfigurieren.

Folgende Schemaänderungen müssen angewendet werden, um verwaltete Dienstkonten unter WindowsServer 2008, WindowsServer 2003 oder in Domänenumgebungen im gemischtem Modus zu verwenden:

  1. Führen Sie auf Gesamtstrukturebene adprep /forestprep aus.

    noteHinweis
    Weitere Informationen finden Sie unter Adprep.

  2. Führen Sie adprep /domainprep in jeder Domäne aus, in der Sie verwaltete Dienstkonten erstellen und verwenden möchten.

  3. Stellen Sie in der Domäne einen Domänencontroller mit einem der folgenden Betriebssysteme bereit:

Weitere Informationen zum Verwalten von Dienstprinzipalnamen finden Sie unter Dienstprinzipalnamen (möglicherweise in englischer Sprache).

Die Tools in der folgenden Tabelle sind für das Konfigurieren und Verwalten von verwalteten Dienstkonten erforderlich.

 

Tool Verfügbarkeit

Windows PowerShell-Befehlszeilenschnittstelle

Windows Server 2008 R2 und Windows 7

Cmdlets für verwaltete Dienstkonten

Windows Server 2008 R2 und Windows 7

Dsacls.exe

Windows Server 2008 R2 und Windows 7

Installutil.exe

Windows Server 2008 R2 und Windows 7

Befehlszeilentool Sc.exe und Benutzeroberfläche des Dienstkontroll-Managers

Windows Server 2008 R2 und Windows 7

Snap-In-Konsole Dienste

Windows Server 2008 R2 und Windows 7

SetSPN.exe

Download unter http://go.microsoft.com/fwlink/?LinkID=44321

NTRights.exe

Download unter http://go.microsoft.com/fwlink/?LinkId=130308

ImportantWichtig
Obwohl Administratoren bei einigen Versionen des Snap-Ins Active Directory-Benutzer und -Computer ein neues msDS-ManagedServiceAccount-Objekt erstellen können, fehlen verwalteten Dienstkonten, die mit diesem Snap-In erstellt wurden, wichtige Attribute. Daher sollten diese Möglichkeit nicht für das Erstellen verwalteter Dienstkonten verwenden. Verwenden Sie für das Erstellen verwalteter Dienstkonten nur die Windows PowerShell.

Bevor Sie die Cmdlets für verwaltete Dienstkonten verwenden können, müssen Sie das .NET Framework 3.5x- und das Active Directory-Modul für die Windows PowerShell auf dem Clientcomputer oder dem Server installieren.

So installieren Sie das .NET Framework- und das Active Directory-Modul für die Windows PowerShell auf einem Computer unter Windows Server 2008 R2

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Server-Manager.

  2. Klicken Sie unter Features auf Features hinzufügen.

  3. Erweitern Sie auf der Seite Features auswählen des Assistenten zum Hinzufügen von Features NET Framework 3.5.1-Features, und wählen Sie dann .NET Framework 3.5.1 aus.

  4. Klicken Sie auf Weiter und dann auf Installieren.

  5. Erweitern Sie Remoteserver-Verwaltungstools und AD DS und AD LDS-Tools, und wählen Sie dann das Snap-In Active Directory-PowerShell aus.

  6. Klicken Sie auf Weiter und dann auf Installieren.

  7. Schließen Sie den Assistenten zum Hinzufügen von Features nach Abschluss der Installation.

So installieren Sie das .NET Framework- und das Active Directory-Modul für die Windows PowerShell auf einem Computer unter Windows 7

  1. Öffnen Sie einen Webbrowser, und laden Sie die Remoteserver-Verwaltungstools unter http://go.microsoft.com/fwlink/?LinkId=153874 auf Ihre Festplatte herunter.

  2. Doppelklicken Sie auf die heruntergeladene Datei, und folgenden Sie den Anweisungen zur Installation der Remoteserver-Verwaltungstools.

  3. Klicken Sie auf Start und dann auf Systemsteuerung.

  4. Klicken Sie auf Programme, auf Programme und Funktionen und dann im linken Bereich auf Windows-Features aktivieren oder deaktivieren.

  5. Vergewissern Sie sich, dass Microsoft .NET Framework 3.5.1 aktiviert ist. Aktivieren Sie es andernfalls.

  6. Erweitern Sie Remoteserver-Verwaltungstools und AD DS und AD LDS-Tools, und wählen Sie dann das Snap-In Active Directory-PowerShell aus.

  7. Klicken Sie auf OK.

    noteHinweis
    Wenn Sie .NET Framework aktivieren mussten, werden Sie zum Neustarten Ihres Computers aufgefordert.

Weitere Informationen finden Sie unter Hilfe zu Windows PowerShell-Cmdlets (möglicherweise in englischer Sprache).

Übersicht über das Konfigurieren und Verwalten von verwalteten Dienstkonten

In den folgenden Abschnitten finden Sie Vorgehensweisen zum Konfigurieren und Verwenden verwalteter Dienstkonten. Dazu gehören:

  • Erstellen und Verwenden verwalteter Dienstkonten mit dem Standardcontainer Verwaltetes Dienstkonto

  • Verschieben von Dienstkonten auf einen anderen Computer

  • Migrieren von Benutzerkonten in ein verwaltetes Dienstkonto

  • Zurücksetzen des Kennworts eines verwalteten Dienstkontos

Für diese Szenarios sind 2 Administratorrollen erforderlich:

  • Der Domänenadministrator kann verwaltete Dienstkonten in AD DS (Active Directory Domain Services, Active Directory-Domänendienste) erstellen, verwalten und ihre Verwaltung delegieren. Zudem können diese verwalteten Dienstkonten auch von jedem Benutzer mit Berechtigungen zum Erstellen/Löschen von msDS-ManagedServiceAccount verwaltet werden.

  • Der Dienstadministrator installiert und verwaltet diese Konten auf Computern unter Windows Server 2008 R2 oder Windows 7, wenn diese Computer für die Ausführung einer Anwendung oder eines Diensts verwendet werden. Benutzer dieser Rolle müssen Mitglied der lokalen Gruppe Administratoren auf dem Computer sein.

Windows Server 2008 R2 enthält alle für die Bereitstellung und Verwaltung von verwalteten Dienstkonten erforderlichen Windows PowerShell-Cmdlets.

Sie können mit Windows PowerShell-Cmdlets verwaltete Dienstkonten auf einem Domänencontroller erstellen, lesen, aktualisieren und löschen. Für das Erstellen und Verwalten dieser Konten steht unter Windows Server 2008 R2 und Windows 7 keine Benutzeroberfläche zur Verfügung.

Dienstadministratoren können mit Windows PowerShell-Cmdlets diese Konten installieren und deinstallieren und die Kennwörter dieser Konten auf Computern unter Windows Server 2008 R2 oder Windows 7 zurücksetzen. Nach der Installation eines verwalteten Dienstkontos können Dienstadministratoren einen Dienst oder eine Anwendung für die Verwendung dieses Kontos konfigurieren. Dafür müssen sie keine Kennwörter für diese Dienste mehr angeben oder ändern, da die Kennwörter dieser Konten automatisch vom Computer verwaltet werden. Der Dienstadministrator kann den Dienstprinzipalnamen zum Dienstkonto konfigurieren, ohne dafür die Rechte von Domänenadministratoren zu benötigen.

Erstellen und Verwenden von verwalteten Dienstkonten

Anhand der folgenden Vorgehensweisen können Sie verwaltete Dienstkonten erstellen und verwalten.

So importieren Sie das Active Directory-Modul für die Windows PowerShell

  1. Klicken Sie auf Start, auf Alle Programme, auf Windows Powershell 2.0 und dann auf das Symbol Windows Powershell 2.0.

  2. Führen Sie den folgenden Befehl aus: Import-Module ActiveDirectory.

So erstellen Sie ein neues verwaltetes Dienstkonto

  1. Klicken Sie auf dem Domänencontroller auf Start und dann auf Ausführen. Geben Sie im Feld Öffnen den Dateinamen dsa.msc ein, und klicken Sie dann auf OK, um das Snap-In Active Directory-Benutzer und -Computer zu öffnen. Überprüfen Sie, dass der Container Verwaltetes Dienstkonto vorhanden ist.

  2. Klicken Sie auf Start, auf Alle Programme, auf Windows Powershell 2.0 und dann auf das Symbol Windows Powershell 2.0.

  3. Führen Sie den folgenden Befehl aus: New-ADServiceAccount [-SAMAccountName <Zeichenfolge>] [-Path <Zeichenfolge>].

noteHinweis
Optionale Parameter sind in eckigen Klammern [] angegeben und Platzhalter in eckigen Klammern <>.

Sie können mit dem OtherAttributes-Parameter zusätzliche Eigenschaften für das neue Objekt festlegen. Wenn Sie den Instance-Parameter verwenden, können Sie neue Objekte auch basierend auf einer Vorlage erstellen. Sie können bei diesem Cmdlet die folgenden zusätzlichen Parameter verwenden:

[-OtherAttributes <Hashtabelle>] 
[-Instance <AD-Dienst>] 
[-Server <Zeichenfolge>] [-Credential <PS-Anmeldeinformationen>]
[-PassThru] 
[-Name <Zeichenfolge>] [-Description <Zeichenfolge>] [-DisplayName <Zeichenfolge>][-Enabled <nullbar'1>]
[-ServicePrincipalNames <Zeichenfolge[]>]
[-AccountExpirationDate <nullbar'1>] [-AccountNotDelegated <nullbar'1>] [-AccountPassword <Sicherheitszeichenfolge>] 
[-AllowReversiblePasswordEncryption <nullbar'1>] [-CannotChangePassword <nullbar'1>] [-Certificates <Zeichenfolge[]>] 
[-ChangePasswordAtLogon <nullbar'1>] [-HomePage <Zeichenfolge>] [-PasswordNeverExpires <nullbar'1>] 
[-PasswordNotRequired <nullbar'1>] [-PermittedLogonTime <Zeichenfolge>] [-PrimaryGroup <Zeichenfolge>]

Nachdem Sie mindestens ein verwaltetes Dienstkonto erstellt haben, können Sie Informationen über diese Konten abrufen.

So rufen Sie in AD DS Informationen über verwaltete Dienstkonten ab

  1. Klicken Sie auf Start, auf Alle Programme, auf Windows Powershell 2.0 und dann auf das Symbol Windows Powershell 2.0.

  2. Führen Sie den folgenden Befehl aus: Get-ADServiceAccount [-Identity] <AD-Dienstkonto> [-Server <Zeichenfolge>] [-Credential <PS-Anmeldeinformationen>] [-LDAPFilter <Zeichenfolge>] [-Filter <Zeichenfolge>] [-WhatIf] [Common PowerShell Parameters].

Wenn das Dienstkonto in AD DS bereits vorhanden ist, können Sie es mit folgendem Cmdlet in ein verwaltetes Dienstkonto umwandeln.

So legen Sie die Eigenschaften eines vorhandenen verwalteten Dienstkontos fest

  1. Klicken Sie auf Start, auf Alle Programme, auf Windows Powershell 2.0 und dann auf das Symbol Windows Powershell 2.0.

  2. Führen Sie den folgenden Befehl aus: Set-ADServiceAccount [-Identity] <AD-Dienstkonto>.

Wenn ein verwaltetes Dienstkonto nicht mehr verwendet wird, können Sie es aus AD DS entfernen.

So entfernen Sie ein verwaltetes Dienstkonto aus AD DS

  1. Klicken Sie auf Start, auf Alle Programme, auf Windows Powershell 2.0 und dann auf das Symbol Windows Powershell 2.0.

  2. Führen Sie den folgenden Befehl aus: Remove-ADServiceAccount [-Identity] <AD-Dienstkonto> [-Partition <Zeichenfolge>] [-Confirm] [-WhatIf] [-PassThru] [-Server <Zeichenfolge>] [-Credential <PS-Anmeldeinformationen>] [Common PowerShell Parameters].

Die folgenden Cmdlets müssen von einem lokalen Administrator oder einem Dienstadministrator auf dem Computer ausgeführt werden, auf dem Windows Server 2008 R2 oder Windows 7 als Host für die Anwendung ausgeführt wird. Mit dem ersten Cmdlet installieren Sie das verwaltete Dienstkonto.

So installieren Sie ein verwaltetes Dienstkonto auf einem lokalen Computer

  1. Klicken Sie auf Start, auf Alle Programme, auf Windows Powershell 2.0 und dann auf das Symbol Windows Powershell 2.0.

  2. Führen Sie den folgenden Befehl aus: Install-ADServiceAccount [-Identity] <AD-Dienstkonto> [-Confirm] [-WhatIf] [-Credential <PS-Anmeldeinformationen>].

WarningWarnung
Das Kontonamensattribut muss dem Kontonamen in der Datenbank des Sicherheitskonto-Managers (Security Accounts Manager, SAM) entsprechen. Wenn das Kontonamensattribut dem SAM-Kontonamen nicht entspricht, schlägt die Installation mit dem Fehler 0xC0000225 fehl.

Die folgenden Schritte beschreiben das Konfigurieren des Dienstes, der mit dem verwalteten Dienstkonto ausgeführt werden soll. Sie können diese Aufgabe mit der Snap-In-Konsole Dienste (Services.msc) oder mit der CreateService-API ausführen.

So konfigurieren Sie mit der Snap-In-Konsole "Dienste" einen Dienst für die Ausführung unter einem verwalteten Dienstkonto

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Dienste.

  2. Wenn Sie zur Eingabe Ihrer Berechtigung aufgefordert werden, klicken Sie auf Weiter.

  3. Klicken Sie mit der rechten Maustaste auf den zu verwendenden Dienst, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie auf die Registerkarte Anmelden und auf Dieses Konto, und geben Sie den Namen des verwalteten Dienstkontos im Format Domänenname\Kontoname ein, oder klicken Sie auf Durchsuchen, um das Konto zu suchen. Vergewissern Sie sich, dass das Kennwortfeld leer ist, und klicken Sie dann auf OK.

  5. Wählen Sie den Namen des Diensts aus, und klicken Sie auf Starten des Diensts oder Dienst neu starten. Vergewissern Sie sich, dass der Name des neu konfigurierten Kontos in der Spalte Anmelden als des Diensts angezeigt wird.

ImportantWichtig
In der Snap-In-Konsole Dienste muss am Ende des Kontonamens ein Dollarzeichen ($) stehen. Wenn Sie die Snap-In-Konsole Dienste verwenden, wird dem Konto automatisch das Anmelderecht SeServiceLogonRight zugewiesen. Wenn Sie für das Konfigurieren des Kontos das Tool Sc.exe oder APIs verwenden, müssen Sie dem Konto dieses Recht explizit zuordnen. Verwenden Sie dafür Tools wie das Sicherheitsrichtlinien-Snap-In, Secedit.exe oder NTRights.exe.

Wenn ein verwaltetes Dienstkonto auf einem Computer nicht mehr verwendet wird, kann es von einem lokalen Administrator deinstalliert werden.

So deinstallieren Sie ein verwaltetes Dienstkonto von einem lokalen Computer

  1. Klicken Sie auf Start, auf Alle Programme, auf Windows Powershell 2.0 und dann auf das Symbol Windows Powershell 2.0.

  2. Führen Sie den folgenden Befehl aus: Uninstall-ADServiceAccount [-Identity] <AD-Dienstkonto> [-Confirm] [-WhatIf] [-Credential <PS-Anmeldeinformationen>].

Obwohl die Kennwörter von verwalteten Dienstkonten regelmäßig entsprechend den Anforderungen der Domäne zurückgesetzt werden, kann ein lokaler Administrator das Kennwort ggf. manuell zurücksetzen.

Konfigurieren eines Dienstkontos für IIS

Organisationen, die IIS-Anwendungen noch stärker isolieren möchten, können IIS-Anwendungspools für die Ausführung von verwalteten Dienstkonten konfigurieren.

So konfigurieren Sie mit dem Snap-In "Informationsdienste-Manager" einen Dienst für die Verwendung eines verwalteten Dienstkontos

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Internetinformationsdienste-Manager.

  2. Doppelklicken Sie auf <Computername> und anschließend auf Anwendungspools, klicken Sie mit der rechten Maustaste auf <Poolname>, und klicken Sie dann auf Erweiterte Einstellungen.

  3. Klicken Sie im Feld Identität auf , anschließend auf Benutzerdefiniert und dann auf Festlegen.

  4. Geben Sie den Namen des verwalteten Dienstkontos im Format Domänenname\Kontoname ein.

    ImportantWichtig
    Lassen Sie das Kennwort leer, und vergewissern Sie sich, dass am Ende des Kontonamens ein Dollarzeichen ($) steht.

  5. Klicken Sie unter Aufgaben für Anwendungspools auf Beenden und anschließend auf Starten.

Delegieren der Verwaltung von verwalteten Dienstkonten

Domänenadministratoren können die Verwaltung von Dienstkonten an einen Dienstadministrator delegieren. Für das Delegieren der Verwaltung in AD DS steht kein Windows PowerShell-Cmdlet zur Verfügung. Daher können Sie die Verwaltung von Dienstkonten z. B. mit einem Tool wie Dsacls.exe an einen Dienstadministrator delegieren.

Der Dienstadministrator, an den die Verwaltung delegiert wird, muss über folgende Berechtigungen verfügen:

  • Löschen

  • Lesen

  • Inhalt auflisten

  • Eigenschaft lesen

  • Objekt auflisten

  • Zugriff steuern

  • Eigenschaft schreiben für Kontoeinschränkungen

  • Eigenschaft schreiben für Anmeldeinformationen

  • Eigenschaft schreiben für Beschreibungen

  • Eigenschaft schreiben für Anzeigenamen

  • Selbst schreiben für bestätigtes Schreiben an DNS-Hostnamen

  • Selbst schreiben für bestätigtes Schreiben an Dienstprinzipalnamen

Das folgende Verfahren enthält ein Dsacls-Beispielskript, das die Konfiguration delegierter Berechtigungen für verwaltete Dienstkonten veranschaulicht.

So delegieren Sie die Verwaltung eines Dienstkontos in AD DS

  1. Öffnen Sie ein Eingabeaufforderungsfenster.

  2. Führen Sie das folgende Dsacls-Skript aus (ersetzten Sie Unternehmensnetzwerk und contoso durch Ihre Netzwerknamen): dsacls "CN=svcacc1,CN=Managed Service Accounts,DC=<Unternehmensnetzwerk>,DC=<contoso>,DC=<com>" /G "<Unternehmensnetzwerk>\ServiceAdmin:SDRCLCRPLOCA" "<Unternehmensnetzwerk>\ServiceAdmin:WP;Logon Information" "<Unternehmensnetzwerk>\ServiceAdmin:WP;Description" "<Unternehmensnetzwerk>\ServiceAdmin:WP;DisplayName" "<Unternehmensnetzwerk>\ServiceAdmin:WP;Account Restrictions" "<Unternehmensnetzwerk>\ServiceAdmin:WS;Validated write to DNS host name" "<Unternehmensnetzwerk>\ServiceAdmin:WS;Validated write to service principal name".

noteHinweis
Weitere Informationen finden Sie unter Dsacls (möglicherweise in englischer Sprache).

Erstellen und Verwenden verwalteter Dienstkonten in einer eigenen Organisationseinheit

Die Verfahren für das Erstellen und Verwenden verwalteter Dienstkonten in einer eigenen Organisationseinheit (Organizational Unit, OU) ähneln denen im ersten Szenario. Der Unterschied besteht darin, dass viele Organisationen eine neue Organisationseinheit erstellen möchten, damit verwaltete Dienstkonten getrennt von anderen Benutzer-, Computer- und speziellen Konten für die Domäne verwaltet werden können.

Weitere Informationen zum Erstellen und Verwalten von Organisationseinheiten finden Sie unter Verwalten von Organisationseinheiten.

Erstellen und Verwenden von verwalteten Dienstkonten in einer eigenen Organisationseinheit und Delegieren der Verwaltung der Organisationseinheit an einen Dienstadministrator

Die Verfahren für das Erstellen und Verwenden verwalteter Dienstkonten in einer eigenen Organisationseinheit ähneln denen der ersten beiden Szenarios. Der Unterschied besteht darin, dass Sie die Verwaltung der neuen Organisationseinheit delegieren, bevor Sie andere Aufgaben durchführen.

Weitere Informationen finden Sie unter Delegieren der Verwaltung einer Organisationseinheit.

Verschieben eines verwalteten Dienstkontos auf einen anderen Computer

Anwendungen wie IIS und Exchange sind für die Organisation und die Benutzer äußerst wichtig. Aus diesem Grund hat die Verwaltung dieser Dienste in vielen Organisationen hohe Priorität und erfolgt daher auf der neuesten und zuverlässigsten Hardware. Deshalb müssen Administratoren genau planen, wie sie diese Dienste von einem Computer auf einen anderen verschieben.

Die folgenden Schritte helfen Ihnen beim Verschieben wichtiger Dienste, die von verwalteten Dienstkonten abhängen, zwischen Computern. Diese Schritte können vollständig vom Dienstadministrator auf dem lokalen Computer ausgeführt werden.

So verschieben Sie ein verwaltetes Dienstkonto von einem Computer auf einen anderen

  1. Klicken Sie auf dem ersten Computer auf Start, auf Alle Programme, auf Windows Powershell 2.0 und dann auf das Symbol Windows Powershell 2.0.

  2. Führen Sie das folgende Windows PowerShell-Cmdlet aus: Uninstall-ADServiceAccount.

  3. Klicken Sie auf dem zweiten Computer auf Start, auf Alle Programme, auf Windows Powershell 2.0 und dann auf das Symbol Windows Powershell 2.0.

  4. Führen Sie das folgende Windows PowerShell-Cmdlet aus: Install-ADServiceAccount.

  5. Verwenden Sie die Snap-In-Konsole Dienste zum Konfigurieren des Dienstes, der mit dem verwalteten Dienstkonto ausgeführt werden soll.

Migrieren eines Dienstes von einem Benutzerkonto in ein verwaltetes Dienstkonto

Einige Organisationen konfigurieren Anwendungen für die Verwendung eines speziellen Benutzerkontos, damit sie eingeschränkte Zugriffsberechtigungen für eine oder mehrere Ressourcendateien wie Datenbanken festlegen können. Wenn Sie einen wichtigen Dienst von einem solchen Benutzerkonto an ein verwaltetes Dienstkonto übertragen möchten, müssen Sie auch diese Zugriffssteuerungseinstellungen aktualisieren.

So migrieren Sie einen Dienst von einem Benutzerkonto in ein verwaltetes Dienstkonto

  1. Eventuell muss ein Domänenadministrator mit dem Windows PowerShell-Cmdlet New-ADServiceAccount ein neues verwaltetes Dienstkonto in AD DS erstellen.

  2. Der Dienstadministrator installiert das verwaltete Dienstkonto mit dem Windows PowerShell-Cmdlet Install-ADServiceAccount auf dem lokalen Computer.

  3. Der Dienstadministrator konfiguriert den Dienst so, dass er mit dem verwalteten Dienstkonto ausgeführt wird.

  4. Der Dienstadministrator konfiguriert die Zugriffssteuerungslisten der Dienstressourcen für das verwaltete Dienstkonto. Weitere Informationen finden Sie unter Prüfliste: Festlegen der Zugriffssteuerung für Objekte.

Migrieren eines verwalteten Dienstkontos in ein anderes

Dieses Szenario ähnelt dem vorausgegangenen Szenario, es sind jedoch zwei verwaltete Dienstkonten erforderlich und nicht ein verwaltetes Dienstkonto und ein Benutzerkonto.

Zurücksetzen des Kennworts eines verwalteten Dienstkontos

Auch bei der automatisch Kennwortverwaltung kann es ggf. erforderlich sein, das Kennwort eines verwalteten Dienstkontos manuell zurückzusetzen.

So setzen Sie das Kennwort für ein verwaltetes Dienstkonto zurück

  1. Klicken Sie auf Start, auf Alle Programme, auf Windows Powershell 2.0 und dann auf das Symbol Windows Powershell 2.0.

  2. Führen Sie den folgenden Befehl aus: Reset-ADServiceAccountPassword [-Identity] <AD-Dienstkonto> [-Credential <PS-Anmeldeinformationen>] [-Server <Zeichenfolge>].

ImportantWichtig
Sie können das Standardintervall für Kennwortänderungen für verwaltete Dienstkonten ändern. Verwenden Sie dafür die Domänenrichtlinie Domänenmitglied: Maximalalter von Computerkontenkennwörtern unter Lokale Richtlinie\Sicherheitsoptionen. Es stehen unter Kontorichtlinien\Kennwortrichtlinien jedoch keine Gruppenrichtlinieneinstellungen zur Verfügung, mit denen Sie die Intervalle für das Zurücksetzen der Kennwörter von verwalteten Dienstkonten ändern können. Außerdem können Sie mit dem NLTEST /SC_CHANGE_PWD:<Domäne>-Befehl zwar Kennwörter von Computerkonten zurücksetzen, aber nicht die Kennwörter von verwalteten Dienstkonten. Weitere Informationen zum Verwalten von Kennwörtern finden Sie unter Schrittweise Anleitung für die Konfiguration abgestimmter Kennwort- und Kontosperrungsrichtlinien.

Verwenden virtueller Konten

Bei virtuellen Konten ist nur wenig Verwaltung erforderlich. Sie können weder erstellt noch gelöscht werden, und es ist keine Kennwortverwaltung erforderlich.

Sie müssen Mitglied der Gruppe Administratoren auf dem lokalen Computer sein, um die folgenden Verfahren ausführen zu können.

So konfigurieren Sie einen Dienst für die Verwendung eines virtuellen Kontos

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Dienste.

  2. Klicken Sie im Detailbereich mit der rechten Maustaste auf den Dienst, den Sie konfigurieren möchten, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf die Registerkarte Anmelden und anschließend auf Dieses Konto, und geben Sie dann NT SERVICE\Dienstname ein. Klicken Sie anschließend auf OK.

  4. Starten Sie den Dienst neu, damit die Änderungen übernommen werden.

Organisationen, die eine noch striktere Diensteisolation von IIS benötigen, können IIS-Anwendungspools für die Ausführung mit virtuellen Konten konfigurieren.

Sie müssen Mitglied der Gruppe Administratoren auf dem lokalen Computer sein, um die folgenden Verfahren ausführen zu können.

So konfigurieren Sie einen IIS-Anwendungspool für die Verwendung eines virtuellen Kontos

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Internetinformationsdienste-Manager.

  2. Doppelklicken Sie auf <Computername> und anschließend auf Anwendungspools, klicken Sie mit der rechten Maustaste auf <Poolname>, und klicken Sie dann auf Erweiterte Einstellungen.

  3. Klicken Sie im Feld Identität auf Identität des Anwendungspools.

    noteHinweis
    Unter Windows Server 2008 R2 und Windows 7 werden IIS-Anwendungspools standardmäßig unter Identität des Anwendungspools ausgeführt.

  4. Klicken Sie unter Aufgaben für Anwendungspools auf Beenden und anschließend auf Starten.

APIs für verwaltete Dienstkonten

Folgende APIs sind öffentlich für die Steuerung verwalteter Dienstkonten und ihres Verhaltens verfügbar. Sie müssen Mitglied der lokalen Gruppe Administratoren sein, um diese APIs verwenden zu können.

NetAddServiceAccount

Die NetAddServiceAccount-API wird zum Erstellen von verwalteten Dienstkonten verwendet.

Syntax

NTSTATUS WINAPI NetAddServiceAccount( 
  __in_opt  LPWSTR ServerName, 
  __in      LPWSTR AccountName, 
  __in      LPWSTR Reserved, 
  __in      DWORD Flags 
);

Parameter

Die folgenden Parameter sind verfügbar.

 

Parameter Beschreibung

ServerName [in, optional]

Diese API ist zurzeit nur lokal. Der Parameter sollte immer auf NULL festgelegt werden.

AccountName [in]

Der Name des zu erstellenden Kontos.

Reserved [in]

Reserviert. Nicht verwenden.

Flags [in]

SERVICE_ACCOUNT_FLAG_LINK_TO_HOST_ONLY 0x00000001L

Es wird kein Dienstkonto erstellt. Wenn bereits ein Dienstkonto mit dem angegebenen Namen vorhanden ist, wird es mit dem lokalen Computer verknüpft.

NetRemoveServiceAccount

Mit dieser Funktion löschen Sie das angegebene Dienstkonto aus der Active Directory-Datenbank. Der geheime Eintrag in der lokalen Sicherheitsautorität (Local Security Authority, LSA) wird gelöscht, und der Zustand wird im Netlogon-Registrierungsspeicher gespeichert.

Syntax

NTSTATUS WINAPI NetRemoveServiceAccount( 
  __in_opt  LPWSTR ServerName, 
  __in      LPWSTR AccountName, 
  __in      DWORD Flags 
);

Parameter

Die folgenden Parameter sind verfügbar.

 

Parameter Beschreibung

ServerName [in, optional]

Diese API ist zurzeit nur lokal. Der Parameter sollte immer auf NULL festgelegt werden.

AccountName [in]

Der Name des zu löschenden Kontos.

Flags [in]

SERVICE_ACCOUNT_FLAG_UNLINK_FROM_HOST_ONLY 0x00000001L

Das Dienstkontoobjekt wird vom lokalen Computer entfernt, und der geheime Eintrag in der lokalen Sicherheitsautorität wird gelöscht. Das Dienstkontoobjekt wird nicht aus der Active Directory-Datenbank gelöscht.

Rückgabewert

Wenn die Funktion erfolgreich ausgeführt wurde, gibt Sie STATUS_SUCCESS zurück.

Wenn die Ausführung der Funktion fehlschlägt, wird ein Fehlercode zurückgegeben.

NetIsServiceAccount

Diese Funktion testet, ob das angegebene Dienstkonto auf dem entsprechenden Server im Netlogon-Speicher vorhanden ist.

Syntax

NTSTATUS WINAPI NetIsServiceAccount(  
  __in_opt  LPWSTR ServerName,  
  __in      LPWSTR AccountName,  
  __out     BOOL *IsService  
);

Parameter

Die folgenden Parameter sind verfügbar.

 

Parameter Beschreibung

ServerName [in, optional]

Diese API ist zurzeit nur lokal. Der Parameter sollte immer auf NULL festgelegt werden.

AccountName [in]

Der Name des zu testenden Kontos.

IsService [out]

TRUE, wenn das angegebene Dienstkonto auf dem Server vorhanden ist, andernfalls FALSE.

Rückgabewert

Wenn die Funktion erfolgreich ausgeführt wurde, gibt Sie STATUS_SUCCESS zurück.

Wenn die Ausführung der Funktion fehlschlägt, wird ein Fehlercode zurückgegeben.

NetEnumerateServiceAccounts

Diese Funktion listet die Serverkonten auf dem angegebenen Server auf.

Syntax

NTSTATUS WINAPI NetEnumerateServiceAccounts(  
  __in_opt  LPWSTR ServerName,  
  __in      DWORD Flags,  
  __out     DWORD *AccountsCount,  
  __out     PZPWSTR *Accounts  
);

Parameter

Die folgenden Parameter sind verfügbar.

 

Parameter Beschreibung

ServerName [in, optional]

Diese API ist zurzeit nur lokal. Der Parameter sollte immer auf NULL festgelegt werden.

Flags [in]

Reserviert. Nicht verwenden. Der Wert muss 0 (null) sein.

AccountsCount [out]

Die Anzahl der Elemente im Accounts-Array.

Accounts [out]

Ein Verweis auf ein Array der Namen der Dienstkonten auf dem angegebenen Server. Der Aufrufer muss den Puffer mit NetAPIBufferFree freigeben.

Rückgabewert

Wenn die Funktion erfolgreich ausgeführt wurde, gibt Sie STATUS_SUCCESS zurück.

Wenn die Ausführung der Funktion fehlschlägt, wird ein Fehlercode zurückgegeben.

Problembehandlung bei verwalteten Dienstkonten

Wenn der Dienst nicht mit einem verwalteten Dienstkonto gestartet wird, können Sie das Problem mit folgenden Schritten beheben.

So beheben Sie Probleme, die den Start eines Dienstes, der einem verwalteten Dienstkonto zugeordnet ist, verhindert

  1. Führen Sie den folgenden Windows PowerShell-Befehl aus, um zu überprüfen, ob das verwaltete Dienstkonto vorhanden ist und in AD DS aktiviert wurde: Get-ADServiceAccount [-Identity] <AD-Dienstkonto> [-Server <Zeichenfolge>] [-Credential <PS-Anmeldeinformationen>] [-LDAPFilter <Zeichenfolge>] [-Filter <Zeichenfolge>] [-WhatIf] [Common PowerShell Parameters].

  2. Vergewissern Sie sich, dass der Name des Dienstkontos mit einem Dollarzeichen ($) endet.

  3. Führen Sie den folgenden Windows PowerShell-Befehl aus, um zu überprüfen, ob das Konto auf dem Computer installiert wurde: Install-ADServiceAccount [-Identity] <AD-Dienstkonto> [-Confirm] [-WhatIf] [-Credential <PS-Anmeldeinformationen>].

  4. Überprüfen Sie mit NTRights.exe, Secedit.exe oder dem Snap-In Lokale Sicherheitsrichtlinie (secpol.msc), dass das Konto über die Anmeldeberechtigung SeServiceLogonRight verfügt. Mit dem folgenden Befehl führen Sie diesen Vorgang mit NTRights.exe aus: NTRights +r SeServiceLogonRight –u <Kontoname>.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.