Dossier Administration : Domptez les comptes de services

Deux nouveaux types de comptes dans Windows Server 2008 R2 et Windows 7 éliminent le besoin de gérer les mots de passe des comptes de services et les noms principaux de service Active Directory (SPN). Les comptes de services administrés reposent sur AD et Windows modifie automatiquement leurs mots de passe avant leur expiration. Il peut aussi s’occuper automatiquement des SPN existants pour les comptes de services administrés. Les comptes virtuels sont similaires, mais il s’agit de comptes locaux. Windows change également automatiquement leurs mots de passe, mais il ne gère pas les SPN. Sur les ordinateurs équipés de Windows 7 ou de Windows Server 2008 R2, vous pouvez employer chaque type de compte lorsque vous spécifiez le mode de connexion d’un service.

Avant de pouvoir utiliser les nouveaux types de comptes, quelques conditions préalables s’imposent. Premièrement, il faut la toute dernière version d’Active Directory. Vous devez aussi installer le service passerelle de gestion Active Directory (Active Directory Management Gateway Service), disponible à l’adresse http://tinyurl.com/ye2bd21, sur l’un des contrôleurs de domaine en version prerelease candidate 2.

Une fois que vous avez préparé AD, un nouveau conteneur intitulé Managed Service Accounts apparaît dans votre domaine. Ensuite, au moyen de Windows PowerShell, vous devez exécuter plus de tâches associées aux comptes de services administrés. Par exemple, pour créer et activer le compte SQLSVC, vous utilisez la commande PowerShell suivante :

New-ADServiceAccount SQLSVC –enable $true

De même, pour enregistrer le SPN MSSQLSVC/computer.domain.com, lors de la création du compte,
exécutez la commande suivante:

New-ADServiceAccount SQLSVC –enable $true –ServicePrincipal
Names "MSSQLSVC/computer. domain.com"