Installation et configuration des comptes

/>
Les pré-requis indiquant l'installation de Powershell, vous avez sans doute déjà compris que la suite se déroulera sans interface graphique mais en ligne de commande ! Vous allez donc voir ici les étapes détaillées permettant de créer un compte MSA et utiliser celui-ci pour configurer le lancement d'un service.
Les principales étapes sont donc :

1. La création du compte MSA dans l'Active Directory
2. L'association du compte MSA à un ordinateur membre de l'Active Directory.
3. L'installation du compte MSA sur l'ordinateur associé.
4. La configuration du service afin que ce dernier utilise le compte MSA.

Tous les services Windows n'étant pas compatibles avec cette fonctionnalité, sachez que vous pourrez créer le service de votre choix (à des fins de test par exemple) avec l'outil instsrv.exe et srvany.exe du ressource kit de Windows Server 2003. (L'outil est téléchargeable à cette adresse et son utilisation est expliquée ici).

1. Afin tout d'abord de créer ce compte MSA, connectez vous à votre console d'administration sous Windows 7 ou depuis un serveur sous Windows 2008 respectant les pré-requis indiqués précédemment. Il vous faut alors lancer la console PowerShell via le menu Démarrer/Tous les programmes/ Accessoires/ Windows PowerShell. La commande ci-dessous permet d'importer le module Powershell Active Directory précédemment installé à l'aide de la commande puis de créer le compte MSA.

Import-Module ActiveDirectory
New-ADServiceAccount -Name -Enabled $true

Note : Sachez également qu'une fois le compte MSA créé, celui-ci sera visible depuis la console "Utilisateurs et Ordinateurs Active Directory" au niveau du conteneur "Managed Service Accounts". Vous pourrez ajouter ce compte MSA à un groupe de sécurité Active Directory. Pour cela, éditez le groupe désiré et choisissez d'ajouter un membre. Spécifiez alors le nom du compte MSA nouvellement crée. La cmdlet PowerShell Add-ADGroupMember permet également de réaliser cette opération.

2. Une fois le compte MSA créé, il vous faut donc l'associer à l'ordinateur cible membre de votre Active Directory.
Lancez alors la commande PowerShell suivante :

Add-ADComputerServiceAccount -Identity

3. Ouvrez une session sur l'ordinateur qui hébergera le compte MSA et installez sur cet ordinateur également le module Active Directory pour PowerShell ainsi que le .NET framework 3.5.

Une fois ces composants installés sur l'ordinateur cible, ouvrez une session en tant qu'administrateur du domaine et lancez la console PowerShell pour importer le module ActiveDirectory et installer le MSA

Import-Module ActiveDirectory
Install-ADServiceAccount -Identity ,CN=Managed Service Accounts,DC ,DC=" /G "DOMAINE\:SDRCLCRPLOCA" "DOMAINE\:WP;Logon Information" "MASOCIETE\Admins du domaine:WP;Description" "DOMAINE\:WP;DisplayName" "DOMAINE\:WP;Account Restrictions" "DOMAINE\:WS;Validated write to DNS host name" "DOMAINE\:WS;Validated write to service principal name"

4. Le compte MSA peut alors être associé au service supporté via l'interface graphique en démarrant la console services.msc puis en spécifiant le nom d'utilisateur au niveau de l'onglet Connexion/Ce compte. Le compte à indiquer doit alors être Domaine\NomDuMSA$ (n'oubliez pas le dollar) et n'indiquez aucun mot de passe.

A noter qu'il est également possible d'associer ce compte MSA à l'aide d'un script Powershell comme celui-ci :

$MSA="domaine\NomduMSA$"
$ServiceName="'Nom_Du_Service'"
$Password=$null
$Service=Get-Wmiobject win32_service -filter "name=$ServiceName"
$InParams = $Service.psbase.getMethodParameters("Change")
$InParams["StartName"] = $MSA
$InParams["StartPassword"] = $Password
$Service.invokeMethod("Change",$InParams,$null)

Editez puis sauvegarder ce fichier à l'aide de notepad dans un fichier au format ps1. Afin d'exécuter un script sous PowerShell, il faudra momentanément baisser la politique de sécurité par défaut, lancer le script puis redéfinir la politique de sécurité par défaut.

Set-ExecutionPolicy remotesigned
Script.ps1
Set-ExecutionPolicy restricted

5. Démarrez alors le service nouvellement configuré avec le compte MSA. Si tout s'est bien déroulé, le démarrage ne doit pas générer d'erreur et vous pourrez confirmer que ce service est lancé avec le compte MSA via le gestionnaire des tâches. Vous venez donc d'associer un compte de service géré à un service pour lequel vous ne nécessiterez donc plus aucune tâche d'administration relative à la gestion de son mot passe. Vous aurez ainsi l'assurance que ce compte ne pourra pas être utilisé à d'autres fins que de lancer le ou les service(s) associé(s) à celui-ci.