Avr
28
2017
Les services Windows peuvent être lancés avec des comptes de service (Microsoft Managed Account ou MSA) pour une sécurité accrue et une gestion simplifiée.
Cela fonctionnait parfaitement jusqu’à ce que je reboote le serveur: impossible de démarrer le service. Ouvrir le service et remettre le mot de passe à blanc permet de le relancer.
Qu’est-ce qui peut causer cela?
Revenons au message qui s’affiche après validation du compte de service: Le compte a reçu le privilège Ouvrir une session en tant que service.
Ce paramètre peut être écrasé par une stratégie de groupe (GPO) qui s’applique globalement au domaine.
Un moyen simple de vérifier quels comptes ont le privilège d’ouvrir une session en tant que service est via rsop.msc.
Naviguer vers Configuration ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Attribution des droits utilisateur et vérifier que le compte de service fait partie de la liste sous l’onglet Paramètre de stratégie de sécurité. Si ce n’est pas le cas, mettre à jour la GPO et vérifier que la stratégie de groupe est bien en première position sous l’onglet Priorité.
Tags: Comptes de Service, GPO, Windows
Avr
06
2017
Les comptes de service administrés sont apparus avec Windows 2008 R2. Ils permettent d’avoir un compte dédié pour chaque service sans les contraintes de gestion comme l’affectation ou le changement de mot de passe; Moins de gestion, plus de sécurité.
Toutefois, un compte ne peut servir que sur un seul serveur.
La mise en place d’un compte de service se fait en 2 parties:
Sa création sur le contrôleur de domaine Active Directory puis son installation sur la machine où le service sera lancé.
Sur le contrôleur de domaine, lancer les deux lignes suivantes en Powershell pour la création du compte qui ne peut pas être faite en mode graphique:
Import-Module ActiveDirectory
New-ADServiceAccount -Name Compte_de_Service -Enabled $true
Le compte apparaît sous « Managed Service Accounts » dans Utilisateurs et ordinateurs Active Directory (Cocher Fonctionnalités avancées sous l’onglet Affichage)
Puis affecter le compte à la machine où le service s’exécutera:
Add-ADComputerServiceAccount -Identity Serveur_Cible -ServiceAccount Compte_de_Service
Sur la machine cible, ajouter la fonctionnalité module AD pour Powershell:
Outils d’administration de serveur distant
Outils d’administration de rôles
Outils AD DS et AD LDS
Module Active directory pour Windows PowerShell
Et installer le compte de service en Powershell:
Install-ADServiceAccount -identity Compte_de_Service
Lancer le service par DOMAINE\Compte_de_Service$ en laissant le mot de passe à vide. Ne pas oublier le $ à la fin du nom du compte!
Tags: Powershell, sécurité, Windows
Mar
21
2017
J’ai été très surpris de constater que PowerShell ne retournait rien quand il devrait compter 0 ou 1.
Voici une capture d’écran qui retourne le nombre de comptes AD.
Utilisez la commande Measure à la place et sélectionnez la valeur count:
C:\>(Get-ADUser -filter {SamAccountName -like "dron*"} |
select SamAccountName | measure).count
1
Encre une très utile:
La commande « tee » permet de stocker l’ensemble des résultats dans une variable et son nombre d’éléments dans une autre:
C:\>$nbComptes = (Get-ADUser -filter {SamAccountName -like "dr*"} |
select SamAccountName |
tee -Variable comptes | measure).count
C:\>$nbComptes
3
C:\>$comptes
SamAccountName
--------------
draguene
drondy
droze
Tags: Powershell
