Запуск служб SQL или других от имени Managed Service Accounts

(Managed Service Accounts – MSA) это специальный тип учетных записей Active Directory, которые можно использовать для безопасного запуска служб, приложений и заданий планировщика. Основная их идея в том, что паролем таких учетных записей полностью управляет Active Directory. Для них автоматически генерируется сложный пароль длиной 240 символов, который меняется автоматически (по умолчанию каждые 30 дней)

Managed Service Accounts появились в Windows Server 2008 R2 (тип объекта msDS-ManagedServiceAccount). Основное их ограничение – такую учетную запись можно использовать только на одном сервере (т.е. их нельзя использовать с кластерными и NLB службами). Поэтому в Windows Server появились групповые учетные записи служб, gMSA — Group Managed Service Accounts (тип msDS-GroupManagedServiceAccount). gMSA аккаунты могут одновременно использоваться на нескольких серверах.

Создаем корневой ключа KDS службы распространения ключей

Прежде, чем приступить к созданию учетной записи MSA/gMSA, нужно выполнить разовую операцию по созданию корневого ключа KDS (KDS root key).

Add-KdsRootKey –EffectiveImmediately

Для проверки ключа используется команда:

Test-KdsRootKey -KeyId (Get-KdsRootKey).KeyId

Создаем управляемую учётную запись MSA в Active Directory

Чтобы создать новую управляемую учетную запись MSA в AD вводим команду:

New-ADServiceAccount -Name msaSQLsrv –RestrictToSingleComputer

(RestrictToSingleComputer – параметр означает, что MSA будет привязан только к одному серверу.)

Привяжем сервисную учетную запись MSA к нужному компьютеру:

Add-ADComputerServiceAccount -Identity srv01 -ServiceAccount msaSQLsrv

Или

$Identity = Get-ADComputer -identity srv01

Установка управляемой учетной записи службы на локальном компьютере

Ставим командлеты на локальном (целевом) компьютере

Install-WindowsFeature -name RSAT-AD-PowerShell | fl

Далее выполнить командлет:

Install-ADServiceAccount -Identity msaSQLsrv

Тестирование MSA, нужно выполнить командлет:

Test-ADServiceAccount msaSQLsrv

Далее через SQL Configuration Manager добавляем MSA – msaSQLsrv в запуск служб (Сервер и агент)