> Tech > Dossier Administration : Domptez les comptes de services

Dossier Administration : Domptez les comptes de services

Tech - Par Joern Wettern - Publié le 24 mars 2011
email

De nombreuses applications ont besoin que les services qu’elles emploient s’exécutent sous l’identité d’un compte utilisateur.

La gestion des comptes de services peut constituer une tâche fastidieuse mais, avec Windows Server 2008 R2 et Windows 7, elle devient nettement plus facile.

Dossier Administration : Domptez les comptes de services


Deux nouveaux types de comptes dans Windows Server 2008 R2 et Windows 7 éliminent le besoin de gérer les mots de passe des comptes de services et les noms principaux de service Active Directory (SPN). Les comptes de services administrés reposent sur AD et Windows modifie automatiquement leurs mots de passe avant leur expiration. Il peut aussi s’occuper automatiquement des SPN existants pour les comptes de services administrés. Les comptes virtuels sont similaires, mais il s’agit de comptes locaux. Windows change également automatiquement leurs mots de passe, mais il ne gère pas les SPN. Sur les ordinateurs équipés de Windows 7 ou de Windows Server 2008 R2, vous pouvez employer chaque type de compte lorsque vous spécifiez le mode de connexion d’un service.

Avant de pouvoir utiliser les nouveaux types de comptes, quelques conditions préalables s’imposent. Premièrement, il faut la toute dernière version d’Active Directory. Vous devez aussi installer le service passerelle de gestion Active Directory (Active Directory Management Gateway Service), disponible à l’adresse http://tinyurl.com/ye2bd21, sur l’un des contrôleurs de domaine en version prerelease candidate 2.

Une fois que vous avez préparé AD, un nouveau conteneur intitulé Managed Service Accounts apparaît dans votre domaine. Ensuite, au moyen de Windows PowerShell, vous devez exécuter plus de tâches associées aux comptes de services administrés. Par exemple, pour créer et activer le compte SQLSVC, vous utilisez la commande PowerShell suivante :

New-ADServiceAccount SQLSVC –enable $true

De même, pour enregistrer le SPN MSSQLSVC/computer.domain.com, lors de la création du compte,
exécutez la commande suivante:

New-ADServiceAccount SQLSVC –enable $true –ServicePrincipal
Names "MSSQLSVC/computer. domain.com"

Téléchargez gratuitement cette ressource

Sécurité & Zero Trust Mise en œuvre

Sécurité & Zero Trust Mise en œuvre

Identifiez-vous vraiment tous les individus qui accèdent à vos données ? Le Zero Trust permet la sécurisation de tous vos accès, d’où qu’ils proviennent. Découvrez, dans ce Livre blanc, comment mettre en place un nouveau périmètre de sécurité avec une approche Zero Trust.

Tech - Par Joern Wettern - Publié le 24 mars 2011