Erste Schritte mit gruppenverwalteten Dienstkonten
Veröffentlicht: August 2016
Gilt für: Windows Server 2012 R2, Windows Server 2012
Diese Anleitung bietet schrittweise Anweisungen und Hintergrundinformationen in Bezug auf das Aktivieren und die Verwendung von gruppenverwalteten Dienstkonten in Windows Server 2012.
Inhalt dieses Dokuments
Prerequisites
Einführung
Bereitstellen einer neuen Serverfarm
Hinzufügen von Mitgliedshosts zu einer vorhandenen Serverfarm
Aktualisieren der Eigenschaften für gruppenverwaltete Dienstkonten
Außerbetriebsetzung von Mitgliedshosts in einer vorhandenen Serverfarm
Außerbetriebsetzung einer vorhandenen Serverfarm
Hinweis
Dieses Thema enthält Windows PowerShell-Beispiel-Cmdlets, mit denen Sie einige der beschriebenen Vorgehensweisen automatisieren können. Weitere Informationen finden Sie unter Verwenden von Cmdlets.
Erforderliche Komponenten
Informationen hierzu finden Sie in diesem Thema im Abschnitt Anforderungen für gruppenverwaltete Dienstkonten.
Einführung
Wenn sich ein Clientcomputer mit einem auf einer Serverfarm gehosteten Dienst mithilfe des Netzwerklastenausgleichs (Network Load Balancing, NLB) oder einer anderen Methode verbindet, in der der Client alle Server als gleichen Dienst interpretiert, dann können die gegenseitige Authentifizierung unterstützende Authentifizierungsprotokolle wie Kerberos nicht verwendet werden, es sei denn, alle Instanzen der Dienste verwenden denselben Prinzipal. Das heißt, dass jeder Dienst dieselben Kennwörter/Schlüssel zum Beweisen der entsprechenden Identität verwenden muss.
Hinweis
Failovercluster unterstützen keine gruppenverwalteten Dienstkonten. Dienste, die oben im Clusterdienst ausgeführt werden, können jedoch ein gMSA oder sMSA verwenden, wenn sie ein Windows-Dienst, ein App-Pool, eine geplante Aufgabe oder gMSA oder sMSA systemeigen unterstützen.
Dienste verfügen über die folgenden Prinzipale, aus denen ausgewählt werden kann, und jeder hat bestimmte Begrenzungen.
Prinzipale |
Bereich |
Unterstützte Dienste |
Kennwortverwaltung |
---|---|---|---|
Computerkonto von Windows-System |
Domäne |
Auf einen mit einer Domäne verbundenen Server |
Vom Computer verwaltet |
Computerkonto ohne Windows-System |
Domäne |
Jeder mit einer Domäne verbundene Server |
Keine |
Virtuelles Konto |
Lokal |
Auf einen Server begrenzt |
Vom Computer verwaltet |
Eigenständig verwaltetes Windows 7-Dienstkonto |
Domäne |
Auf einen mit einer Domäne verbundenen Server |
Vom Computer verwaltet |
Benutzerkonto |
Domäne |
Jeder mit einer Domäne verbundene Server |
Keine |
Gruppenverwaltetes Dienstkonto |
Domäne |
Jeder mit einer Domäne verbundene Windows Server 2012-Server |
Der Domänencontroller verwaltet, und der Host ruft ab |
Ein Windows-Computerkonto oder ein eigenständiges verwaltetes Windows 7-Dienstkonto (standalone Managed Service Account, sMSA) oder virtuelle Konten können nicht über mehrere Systeme hinweg freigegeben werden. Wenn Sie ein Konto für Dienste auf freizugebenden Serverfarmen konfigurieren, müssten Sie getrennt vom Windows-System ein Benutzer- oder Computerkonto auswählen. So oder so verfügen diese Konten nicht über die Fähigkeit der Kennwortverwaltung über einen einzigen Steuerungspunkt. Dies führt zu einem Problem, wobei jede Organisation eine teure Lösung erstellen muss, um die Schlüssel für den Dienst in Active Directory zu aktualisieren und anschließend die Schlüssel in allen Instanzen dieser Dienste bereitzustellen.
Mit Windows Server 2012 müssen Dienste oder Dienstadministratoren die Kennwortsynchronisierung zwischen Dienstinstanzen nicht verwalten, wenn die gruppenverwalteten Dienstkonten verwendet werden. Sie stellen die gruppenverwalteten Dienstkonten in Active Directory bereit und konfigurieren anschließend den Dienst, der verwaltete Dienstkonten unterstützt. Sie können ein gruppenverwaltetes Dienstkonto mithilfe der Cmdlets „*-ADServiceAccount“ bereitstellen, die Bestandteil des Active Directory-Moduls sind. Die Dienstidentitätskonfiguration auf dem Host wird unterstützt durch:
Dieselben APIs wie sMSA, sodass Produkte, die sMSA unterstützen, auch gMSA unterstützen
Dienste, die den Dienststeuerungs-Manager zum Konfigurieren der Anmeldeidentität verwenden
Dienste, die den IIS-Manager für Anwendungspools zwecks Konfiguration der Identität verwenden
Aufgaben mithilfe der Aufgabenplanung.
Weitere Informationen über eigenständige verwaltete Dienstkonten finden Sie unter Verwaltete Dienstkonten. Weitere Informationen über gruppenverwaltete Dienstkonten finden Sie unter Group Managed Service Accounts Overview.
Anforderungen für gruppenverwaltete Dienstkonten
Die folgende Tabelle führt die Betriebssystemanforderungen auf, damit die Kerberos-Authentifizierung mit Diensten mithilfe von gMSA funktioniert. Die Active Directory-Anforderungen sind im Anschluss an die Tabelle aufgeführt.
Zum Ausführen der Windows PowerShell-Befehle ist eine 64-Bit-Architektur erforderlich, die zum Verwalten von gruppenverwalteten Dienstkonten (group Managed Service Accounts, gMSA) verwendet werden.
Anforderungen an das Betriebssystem
Element |
Anforderungen |
Betriebssystem |
---|---|---|
Host der Clientanwendung |
RFC-konformer Kerberos-Client |
Mindestens Windows XP |
Domänencontroller für Domäne des Benutzerkontos |
RFC-konformer KDC |
Mindestens Windows Server 2003 |
Mitgliederhosts für freigegebene Dienste |
Windows Server 2012 |
|
Domänencontroller für Domäne des Mitgliedhosts |
RFC-konformer KDC |
Mindestens Windows Server 2003 |
Domänencontroller für Domäne des gMSA-Kontos |
Für den Host zum Abrufen des Kennworts verfügbare Windows Server 2012-Domänencontroller |
Domäne mit Windows Server 2012, die einige Systeme früher als Windows Server 2012 aufweisen kann |
Back-End-Diensthost |
RFC-konformer Kerberos-Anwendungsserver |
Mindestens Windows Server 2003 |
Domänencontroller für Domäne des Back-End-Dienstkontos |
RFC-konformer KDC |
Mindestens Windows Server 2003 |
Windows PowerShell für Active Directory |
Die lokal auf einem Computer oder auf Ihrem Remoteverwaltungscomputer (beispielsweise mithilfe des Remoteserver-Verwaltungstoolkits) installierte Windows PowerShell für Active Directory, die eine 64-Bit-Architektur unterstützt. |
Windows Server 2012 |
Anforderungen für Active Directory-Domänendienste
Das Active Directory-Schema in der Gesamtstruktur der gMSA-Domäne muss auf Windows Server 2012 aktualisiert werden, um ein gMSA zu erstellen.
Sie können das Schema aktualisieren, indem Sie einen Domänencontroller installieren, auf dem Windows Server 2012 ausgeführt wird, oder indem Sie die Version von adprep.exe auf einem Computer mit Windows Server 2012 ausführen. Das Objektversionsattribut für das Objekt „CN=Schema,CN=Configuration,DC=Contoso,DC=Com“ muss „52“ sein.
Neues gruppenverwaltetes Dienstkonto
Wenn Sie die Diensthostberechtigung verwalten, um das gMSA nach Gruppe zu verwenden, dann neue oder vorhandene Sicherheitsgruppe
Beim Verwalten der Dienstzugriffssteuerung nach Gruppe dann neue oder vorhandene Sicherheitsgruppe
Wenn erste Hauptstammschlüssel für Active Directory nicht in der Domäne bereitgestellt wird oder nicht erstellt wurde, dann erstellen Sie ihn. Die Ergebnisse seiner Erstellung können im KdsSvc-Betriebsprotokoll unter Ereignis-ID 4004 nachvollzogen werden.
Anweisungen zum Erstellen des Schlüssels finden Sie unter Erstellen des KDS-Stammschlüssels. Der Microsoft-Schlüsselverteilungsdienst („kdssvc.dll“) ist der Stammschlüssel für Active Directory.
Lebenszyklus
Der Lebenszyklus einer Serverfarm, die das gMSA-Feature verwendet, umfasst für gewöhnlich folgende Aufgaben:
Bereitstellen einer neuen Serverfarm
Hinzufügen von Mitgliedshosts zu einer vorhandenen Serverfarm
Außerbetriebsetzung von Mitgliedshosts in einer vorhandenen Serverfarm
Außerbetriebsetzung einer vorhandenen Serverfarm
Entfernen eines gefährdeten Mitgliedhosts aus einer Serverfarm, sofern erforderlich.
Bereitstellen einer neuen Serverfarm
Beim Bereitstellen einer neuen Serverfarm muss der Dienstadministrator Folgendes bestimmen:
Ob der Dienst mithilfe von gMSAs unterstützt wird
Ob für den Dienst eingehende oder ausgehende authentifizierte Verbindungen erforderlich sind
Die Computerkontennamen für die Mitgliedhosts für den Dienst mithilfe des gMSAs
Den NetBIOS-Namen für den Dienst
Den DNS-Hostnamen für den Dienst
Die Dienstprinzipalnamen für den Dienst
Das Kennwortänderungsintervall (Standard liegt bei 30 Tagen)
Schritt 1: Bereitstellen gruppenverwalteter Dienstkonten
Sie können ein gMSA nur erstellen, wenn das Gesamtstrukturschema auf Windows Server 2012 aktualisiert wurde, der Hauptstammschlüssel für Active Directory bereitgestellt wurde und mindestens ein Windows Server 2012-Domänencontroller in der Domäne vorhanden ist, in der das gMSA erstellt wird.
Die Mitgliedschaft in Domänen-Admins, Konten-Operatoren oder Fähigkeit zum Erstellen von „msDS-GroupManagedServiceAccount“-Objekten ist die Mindestvoraussetzung, um die folgenden Verfahren abzuschließen. Detaillierte Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.
So erstellen Sie ein gMSA mithilfe des Cmdlets „New-ADServiceAccount“
Führen Sie auf dem Windows Server 2012-Domänencontroller Windows PowerShell über die Taskleiste aus.
Geben Sie an der Befehlszeile für die Windows PowerShell die folgenden Befehle ein, und drücken Sie die EINGABETASTE: (Das Active Directory-Modul wird automatisch geladen.)
New-ADServiceAccount [-Name] <Zeichenfolge> -DNSHostName <Zeichenfolge> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] -SamAccountName <Zeichenfolge> -ServicePrincipalNames <Zeichenfolge[]>
Parameter
Zeichenfolge
Beispiel
Name
Name des Kontos
ITFarm1
DNSHostName
DNS-Hostname des Diensts
ITFarm1.contoso.com
KerberosEncryptionType
Jeder durch die Hostserver unterstützte Verschlüsselungstyp
RC4, AES128, AES256
ManagedPasswordIntervalInDays
Kennwortänderungsintervall in Tagen (Standard liegt bei 30, wenn keine Angabe erfolgt)
90
PrincipalsAllowedToRetrieveManagedPassword
Die Computerkonten des Mitgliedhosts oder der Sicherheitsgruppe, die das Mitglied hostet, sind Mitglied von
ITFarmHosts
SamAccountName
NetBIOS-Name für den Dienst, sofern dies nicht „Name“ entspricht
ITFarm1
ServicePrincipalNames
Die Dienstprinzipalnamen für den Dienst
http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Wichtig
Das Kennwortänderungsintervall kann nur während der Erstellung festgelegt werden. Wenn Sie das Intervall ändern möchten, müssen Sie ein neues gMSA erstellen und es zur Erstellungszeit festlegen.
Beispiel
Geben Sie jeden Befehl in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.
New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Die Mitgliedschaft in Domänen-Admins, Konten-Operatoren oder Fähigkeit zum Erstellen von „msDS-GroupManagedServiceAccount“-Objekten ist die Mindestvoraussetzung, um dieses Verfahren abzuschließen. Detaillierte Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.
So erstellen Sie ein gMSA ausschließlich für die ausgehende Authentifizierung mithilfe des Cmdlets „New-ADServiceAccount“
Führen Sie auf dem Windows Server 2012-Domänencontroller Windows PowerShell über die Taskleiste aus.
Geben Sie an der Befehlszeile für das Windows PowerShell Active Directory-Modul die folgenden Befehle ein, und drücken Sie die EINGABETASTE:
New-ADServiceAccount [-Name] <Zeichenfolge> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]
Parameter
Zeichenfolge
Beispiel
Name
Benennen Sie das Konto
ITFarm1
ManagedPasswordIntervalInDays
Kennwortänderungsintervall in Tagen (Standard liegt bei 30, wenn keine Angabe erfolgt)
75
PrincipalsAllowedToRetrieveManagedPassword
Die Computerkonten des Mitgliedhosts oder der Sicherheitsgruppe, die das Mitglied hostet, sind Mitglied von
ITFarmHosts
Wichtig
Das Kennwortänderungsintervall kann nur während der Erstellung festgelegt werden. Wenn Sie das Intervall ändern möchten, müssen Sie ein neues gMSA erstellen und es zur Erstellungszeit festlegen.
Beispiel
New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts
Schritt 2: Konfigurieren des Dienstidentitäts-Anwendungsdiensts
Informationen über das Konfigurieren der Dienste in Windows Server 2012 finden Sie in der folgenden Featuredokumentation:
IIS-Anwendungspool
Weitere Informationen finden Sie unter Angeben einer Identität für einen Anwendungspool (IIS 7).
Windows-Dienste
Weitere Informationen finden Sie unter Dienste.
Aufgaben
Weitere Informationen finden Sie unter Aufgabenplanung (Übersicht).
Andere Dienste könnten gMSA unterstützen. Konsultieren Sie die entsprechende Produktdokumentation, um Details darüber zu erhalten, wie diese Dienste zu konfigurieren sind.
Hinzufügen von Mitgliedshosts zu einer vorhandenen Serverfarm
Wenn Sie Sicherheitsgruppen für das Verwalten von Mitgliedhosts verwenden, fügen Sie das Computerkonto für den neuen Mitgliedhosts mithilfe einer der folgenden Methoden zur Sicherheitsgruppe (in der die Mitgliedhosts des gMSAs Mitglied sind) zu.
Die Mitgliedschaft in Domänen-Admins oder die Fähigkeit, Mitglieder zum Sicherheitsgruppenobjekt hinzuzufügen, ist die Mindestvoraussetzung zum Abschließen dieser Verfahren. Detaillierte Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.
Methode 1: Active Directory-Benutzer und-Computer
Verfahren zum Verwenden dieser Methode mithilfe der Windows-Benutzeroberfläche finden Sie unter Hinzufügen eines Computerkontos zu einer Gruppe und Verwalten unterschiedlicher Domänen im Active Directory-Verwaltungscenter.
Methode 2: „dsmod“
Verfahren zum Verwenden dieser Methode mithilfe der Befehlszeile finden Sie unter Hinzufügen eines Computerkontos zu einer Gruppe.
Methode 3: Windows PowerShell Active Directory-Cmdlet „Add-ADPrincipalGroupMembership“
Verfahren zum Verwenden dieser Methode finden Sie unter Add-ADPrincipalGroupMembership.
Suchen Sie bei der Verwendung von Benutzerkonten nach vorhandenen Konten, und fügen Sie dann das neue Benutzerkonto hinzu.
Die Mitgliedschaft in Domänen-Admins, Konten-Operatoren oder Fähigkeit zum Verwalten von „msDS-GroupManagedServiceAccount“-Objekten ist die Mindestvoraussetzung, um dieses Verfahren abzuschließen. Detaillierte Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter „Lokale und Domänenstandardgruppen“.
So fügen Sie Hosts mithilfe des Cmdlets „Set-ADServiceAccount“ hinzu
Führen Sie auf dem Windows Server 2012-Domänencontroller Windows PowerShell über die Taskleiste aus.
Geben Sie an der Befehlszeile für das Windows PowerShell Active Directory-Modul die folgenden Befehle ein, und drücken Sie die EINGABETASTE:
Get-ADServiceAccount [-Name] <Zeichenfolge> -PrincipalsAllowedToRetrieveManagedPassword
Geben Sie an der Befehlszeile für das Windows PowerShell Active Directory-Modul die folgenden Befehle ein, und drücken Sie die EINGABETASTE:
Set-ADServiceAccount [-Name] <Zeichenfolge> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Parameter |
Zeichenfolge |
Beispiel |
---|---|---|
Name |
Benennen Sie das Konto |
ITFarm1 |
PrincipalsAllowedToRetrieveManagedPassword |
Die Computerkonten des Mitgliedhosts oder der Sicherheitsgruppe, die das Mitglied hostet, sind Mitglied von |
Host1, Host2, Host3 |
Beispiel
Geben Sie beispielsweise zum Hinzufügen von Mitgliedhosts die folgenden Befehle ein, und drücken Sie dann die EINGABETASTE.
Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Name] ITFarm1-PrincipalsAllowedToRetrieveManagedPassword Host1 Host2 Host3
Aktualisieren der Eigenschaften für gruppenverwaltete Dienstkonten
Die Mitgliedschaft in Domänen-Admins, Konten-Operatoren oder Fähigkeit zum Schreiben in „msDS-GroupManagedServiceAccount“-Objekte ist die Mindestvoraussetzung, um diese Verfahren abzuschließen. Detaillierte Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.
Öffnen Sie das Active Directory-Modul für die Windows PowerShell, und legen Sie eine beliebige Eigenschaft mithilfe des Cmdlets „Set-ADServiceAccount“ fest.
Detaillierte Informationen für das Festlegen dieser Eigenschaften finden Sie unter Set-ADServiceAccount in der TechNet-Bibliothek, oder indem Sie an der Eingabeaufforderung für das Active Directory-Modul für Windows PowerShell Get-Help Set-ADServiceAccount eingeben und die EINGABETASTE drücken.
Außerbetriebsetzung von Mitgliedshosts in einer vorhandenen Serverfarm
Die Mitgliedschaft in Domänen-Admins oder die Fähigkeit, Mitglieder aus dem Sicherheitsgruppenobjekt zu entfernen, ist die Mindestvoraussetzung zum Abschließen dieser Verfahren. Detaillierte Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.
Schritt 1: Entfernen von Mitgliedhosts vom gMSA
Wenn Sie Sicherheitsgruppen für das Verwalten von Mitgliedhosts verwenden, entfernen Sie das Computerkonto für den deaktivierten Mitgliedhost mithilfe einer der folgenden Methoden aus der Sicherheitsgruppe, in der die Mitgliedhosts des gMSAs Mitglied sind.
Methode 1: Active Directory-Benutzer und-Computer
Verfahren zum Verwenden dieser Methode mithilfe der Windows-Benutzeroberfläche finden Sie unter Löschen eines Computerkontos und Verwalten unterschiedlicher Domänen im Active Directory-Verwaltungscenter.
Methode 2: „drsm“
Verfahren zum Verwenden dieser Methode mithilfe der Befehlszeile finden Sie unter Löschen eines Computerkontos.
Methode 3: Windows PowerShell Active Directory-Cmdlet „Remove-ADPrincipalGroupMembership“
Detaillierte Informationen dazu, wie Sie dies vornehmen können, finden Sie unter Remove-ADPrincipalGroupMembership in der TechNet-Bibliothek, oder indem Sie an der Eingabeaufforderung für das Active Directory-Modul für Windows PowerShell Get-Help Remove-ADPrincipalGroupMembership eingeben und die EINGABETASTE drücken.
Wenn Sie Computerkonten auflisten, rufen Sie die vorhandenen Konten ab, und fügen Sie dann alle mit Ausnahme des entfernten Computerkontos hinzu.
Die Mitgliedschaft in Domänen-Admins, Konten-Operatoren oder Fähigkeit zum Verwalten von „msDS-GroupManagedServiceAccount“-Objekten ist die Mindestvoraussetzung, um dieses Verfahren abzuschließen. Detaillierte Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter „Lokale und Domänenstandardgruppen“.
So entfernen Sie Hosts mithilfe des Cmdlets „Set-ADServiceAccount“
Führen Sie auf dem Windows Server 2012-Domänencontroller Windows PowerShell über die Taskleiste aus.
Geben Sie an der Befehlszeile für das Windows PowerShell Active Directory-Modul die folgenden Befehle ein, und drücken Sie die EINGABETASTE:
Get-ADServiceAccount [-Name] <Zeichenfolge> -PrincipalsAllowedToRetrieveManagedPassword
Geben Sie an der Befehlszeile für das Windows PowerShell Active Directory-Modul die folgenden Befehle ein, und drücken Sie die EINGABETASTE:
Set-ADServiceAccount [-Name] <Zeichenfolge> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Parameter |
Zeichenfolge |
Beispiel |
---|---|---|
Name |
Benennen Sie das Konto |
ITFarm1 |
PrincipalsAllowedToRetrieveManagedPassword |
Die Computerkonten des Mitgliedhosts oder der Sicherheitsgruppe, die das Mitglied hostet, sind Mitglied von |
Host1, Host3 |
Beispiel
Geben Sie beispielsweise zum Entfernen von Mitgliedhosts die folgenden Befehle ein, und drücken Sie dann die EINGABETASTE.
Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1 Host3
Schritt 2: Entfernen eines gruppenverwalteten Dienstkontos aus dem System
Entfernen Sie die zwischengespeicherten gruppenverwalteten Dienstkonto-Anmeldeinformationen aus dem Mitgliedhost unter Verwendung der „Uninstall-ADServiceAccount“- oder der „NetRemoveServiceAccount“ auf dem Hostsystem.
Sie müssen mindestens Mitglied der Gruppe Administratoren oder einer entsprechenden Gruppe sein, um diese Verfahren abschließen zu können. Detaillierte Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.
So entfernen Sie ein gruppenverwaltetes Dienstkonto mithilfe des Cmdlets „Uninstall-ADServiceAccount“
Führen Sie auf dem Windows Server 2012-Domänencontroller Windows PowerShell über die Taskleiste aus.
Geben Sie an der Befehlszeile für das Windows PowerShell Active Directory-Modul die folgenden Befehle ein, und drücken Sie die EINGABETASTE:
Uninstall-ADServiceAccount < ADServiceAccount>
Beispiel
Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE, um beispielsweise die zwischengespeicherten Anmeldeinformationen für ein gruppenverwaltetes Dienstkonto namens „ITFarm1“ zu entfernen:
Uninstall-ADServiceAccount ITFarm1
Geben Sie für weitere Informationen über das Cmdlet Uninstall-ADServiceAccount an der Eingabeaufforderung für das Active Directory-Modul für Windows PowerShell Get-Help Uninstall-ADServiceAccount ein, und drücken Sie dann die EINGABETASTE, oder konsultieren Sie die Informationen auf der TechNet-Website unter Uninstall-ADServiceAccount.
Außerbetriebsetzung einer vorhandenen Serverfarm
Beim Deaktivieren einer vorhandenen Serverfarm sollten Sie die folgenden Objekte aus Active Directory entfernen:
Wenn das gruppenverwaltete Dienstkonto das einzige Mitglied ist, wird die Sicherheitsgruppe, in der das gruppenverwaltete Dienstkonto Mitglied ist, für die Zugriffssteuerung verwendet
Wenn die Sicherheitsgruppe nur für Mitgliedhosts verwendet wird, ist die Sicherheitsgruppe, die das Mitglied hostet, ein Mitglied des gruppenverwalteten Dienstkontos
gMSA.
Verwenden Sie zum Löschen einer Sicherheitsgruppe „Active Directory-Benutzer und -Computer“, „dsrm“ oder „Remove-ADGroup“. Verwenden Sie zum Löschen eines gruppenverwalteten Dienstkontos „Active Directory-Benutzer und -Computer“ oder „Remove-ADServiceAccount“
Schritt 1: Löschen von Active Directory-Objekten
Die Mitgliedschaft in Domänen-Admins, Konten-Operatoren oder Fähigkeit zum Löschen von „msDS-GroupManagedServiceAccount“ und Sicherheitsgruppenobjekten ist die Mindestvoraussetzung, um diese Verfahren abzuschließen. Detaillierte Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.
So entfernen Sie ein gruppenverwaltetes Dienstkonto mithilfe des Cmdlets „Remove-ADServiceAccount“
Führen Sie auf dem Windows Server 2012-Domänencontroller Windows PowerShell über die Taskleiste aus.
Geben Sie an der Befehlszeile für das Windows PowerShell Active Directory-Modul die folgenden Befehle ein, und drücken Sie die EINGABETASTE:
Remove-ADServiceAccount < ADServiceAccount>
Beispiel
Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE, um beispielsweise ein gruppenverwaltetes Dienstkonto namens „ITFarm1“ zu löschen:
Remove-ADServiceAccount ITFarm1
Geben Sie für weitere Informationen über das Cmdlet Remove-ADServiceAccount an der Eingabeaufforderung für das Active Directory-Modul für Windows PowerShell Get-Help Remove-ADServiceAccount ein, und drücken Sie dann die EINGABETASTE, oder konsultieren Sie die Informationen auf der TechNet-Website unter Remove-ADServiceAccount.
Schritt 2: Entfernen eines gruppenverwalteten Dienstkontos aus dem System
Verwenden Sie die unter Schritt 2: Entfernen eines gruppenverwalteten Dienstkontos aus dem System in diesem Thema beschriebenen Verfahren.