Bazen bazı uygulamalar çalışmak için kullanıcı hesabına ihtiyaç duyarlar. Bunlara “Service Accounts” denir.
Bu hesaplarla ilgili sorun şifrelerinin çok sık değişmemesi ve bu nedenle güvelik açığı teşkil etmeye başlamalalarıdır. Çoğu zaman şifre değişikliği sistemin reboot edilmesini gerektirebilir ve bu istenen bir durum değildir.
Local Sistem hesabı kullanabiliriz ama genellikle bu hesaplarda çok fazla yetki vardır bu nedenle çok da iyi olmaz. Lokal Servis hesaplarında ise çok yetersiz yetki olur bu durumda istenmeyebilir. Network Servis hesaplarınıda kullanabiliriz. Bu hesaplarda ağda pek çok servise erişebilirler ancak bu durumda istediğimiz bir durum olmayabilir.
Önemli olan şey ihtiyaç duyulan minimum yetkiyi vermektir. İşte bu nedenle Managed Service Accounts (MSA) kullanırız.
MSA hem bilgisayar hesabı hemde kullanıcı hesabı gibi davranabilir. Bu bize her ikisinin iyi tarafarını kullanma şansı verir özellikle password ve SPN (Service Principle Name) kullanımında esneklik sağlar. Pek çok hizmet service bilgilerini SPN record olarak DNS’e kaydeder. Bu durum servisten servise farklılık gösterir. Bazıları kayıt işlemini otomatik yaparken bazen bu işlemi manuel olarak yapmak zorunda kalabiliriz.
MSA için min Server 2008 R2 veya yenisi, .NET Framework 3.5.x ve active Directory Module for Powershell.
MSA’ler Managed Service Accounts adı verilen bir Containerda tutulurlar.
* CN= Managed Service Accounts, DC=<domain>,DC=<com> container
MSA bir kullanıcı hesabı ve bilgisayar hesabının karışımıdır. MSA kullanıcı hesabı gibi authentication yapabilir. Ve Bilgisayar hesabı gibi davranır ve AD onun passwordünü değiştirebilir. MSA sistem(bilgisayar) objectlerinin kullandığı password-update mekanizmasını kullanır.
Oluşturmak için
Container a girip sağ taraftan new dediğimizde karşımıza bazı opsiyonlar çıkacak bunlardan “User” seçip devam ediyoruz. Gelen pencere neredeyse aynı user hesabı oluşturmak için kullandığımız gibi.
Bunu yapmanın bir diğer yoluda AD Users and Computers.
Eski sistemlerde Managed Accounts diye de geçebilir. Ve SPN’i manuel oluşturmak gerekirdi.
Artık password otomasyonu daha kolay ve güvenli hale gelmiştir.