(Managed Service Accounts – MSA) это специальный тип учетных записей Active Directory, которые можно использовать для безопасного запуска служб, приложений и заданий планировщика. Основная их идея в том, что паролем таких учетных записей полностью управляет Active Directory. Для них автоматически генерируется сложный пароль длиной 240 символов, который меняется автоматически (по умолчанию каждые 30 дней)
Managed Service Accounts появились в Windows Server 2008 R2 (тип объекта msDS-ManagedServiceAccount). Основное их ограничение – такую учетную запись можно использовать только на одном сервере (т.е. их нельзя использовать с кластерными и NLB службами). Поэтому в Windows Server появились групповые учетные записи служб, gMSA — Group Managed Service Accounts (тип msDS-GroupManagedServiceAccount). gMSA аккаунты могут одновременно использоваться на нескольких серверах.
Создаем корневой ключа KDS службы распространения ключей
Прежде, чем приступить к созданию учетной записи MSA/gMSA, нужно выполнить разовую операцию по созданию корневого ключа KDS (KDS root key).
Add-KdsRootKey –EffectiveImmediately
Для проверки ключа используется команда:
Test-KdsRootKey -KeyId (Get-KdsRootKey).KeyId
Создаем управляемую учётную запись MSA в Active Directory
Чтобы создать новую управляемую учетную запись MSA в AD вводим команду:
New-ADServiceAccount -Name msaSQLsrv –RestrictToSingleComputer
(RestrictToSingleComputer – параметр означает, что MSA будет привязан только к одному серверу.)
Привяжем сервисную учетную запись MSA к нужному компьютеру:
Add-ADComputerServiceAccount -Identity srv01 -ServiceAccount msaSQLsrv
Или
$Identity = Get-ADComputer -identity srv01
Установка управляемой учетной записи службы на локальном компьютере
Ставим командлеты на локальном (целевом) компьютере
Install-WindowsFeature -name RSAT-AD-PowerShell | fl
Далее выполнить командлет:
Install-ADServiceAccount -Identity msaSQLsrv
Тестирование MSA, нужно выполнить командлет:
Test-ADServiceAccount msaSQLsrv
Далее через SQL Configuration Manager добавляем MSA – msaSQLsrv в запуск служб (Сервер и агент)