Yönetimsel Servis Hesapları (Managed Service Accounts) (MSA)

Yenal TIRPANCI 09 Nisan 2012 0
  • Sumo
Windows Server 2008 R2 ile birlikte gelen yeniliklerden biride Yönetimsel Servis Hesapları olarak karşımıza çıkmakta.
Yönetimsel Servis Hesapları nedir?
Servislere ihtiyaç duyan uygulamalarımız vardır.Mesela OCS / LYNC,SQL Server,Exchange Server ,vs gibi ürünler servislere ihtiyaç duymaktadır.Ve bu servislerinde çalışması için gereken servis hesaplarına ihtiyaç duymaktadır.Bizler ilk kurulum da tanımlamalarımız sonucunda servisler o hesaplar ile çalışmayı sürdürürler.Fakat bu servis hesaplarında herhangi bir güncelleme yapıldığın da o hesaba bağlı olarak çalışan servislerde çalışamaz durumda kalırlar.Bu durumda çalışmayacak olan servisleri çalışır duruma getirebilmek için her bir servis üzerinde hesap bilgilerini düzenlemek ve güncellemek gerekmektedir.Windows Server 2008 R2 ile birlikte Yönetilebilen servis hesapları ile birlikte servis hesapları ile ilgimiz tamamen kesilececek ve bunun kontrolünü ve şifrelemesini Windows Server 2008 R2 Active Directory üzerinden yönetimini ve şifrelemesini kendisi yapacaktır.
Burada bizim mevcut organizasyonumuz da mevcut olan Password Policy ya da Fine Grained Password ile tanımlanmış policy yapımızın da ne olduğunun bir önemi bulunmamakta ve mevcut Policy lerinden de etkilenmemektedir.
Bu işlemi nasıl gerçekleştiriyoruz öncelikle bunu inceleyelim…
Öncelikle Yeni Bir Servis Hesabı oluşturalım…Bunun için Active Directory Module For Windows PowerShell açıyoruz…
Defaul olarak herhangi bir path (yol ) belirtmeden açılan servis hesapları default olarak Managed Service Account Konteynırı altına oluşturulur…

New-ADServiceAccount –Name  ServiceAccount –Enable  $True
Komutunu çalıştırdığımız da Defaul olarak Managed Service Account Konteynırı altında oluşacaktır…

Şeklinde oluştuğunu görüyoruz…

Fakat biz herzaman oluşturulan hesabın default konteynır altında olmasını istemeyedebiliriz.Bunun için farklı konteynır altına da oluşturabileceğimiz hesaplar olabilir.Bunun için
New-ADServiceAccount –Name ServiceAccount1 –Enable $True –Path  “OU=NAP,DC=Yenal,DC=Local”
Komutunu çalıştırdığımızda…Yeni bir servis hesabı oluşacak ve bu hesap NAP Organization Unit altında oluşacaktır…

Görüldüğü üzere oluşturulan servis hesabı bizim belirttiğimiz NAP OU içerisinde oluştuğunu gördük…
Şimdi hesap oluşturulduktan sonra yapmamız gereken diğer bir işlem ise oluşturduğumuz servis hesabı ile bu servis hesabını ilişkilendireceğimiz bilgisayar hesabını ilişkilendireceğiz.Bunun için ise

Add-ADComputerServiceAccount –Identity  NASS1 –ServiceAccount  ServiceAccount
NASS1 burada servisi kullanacak Bilgisayar adını
ServiceAccount ise az önce oluşturduğumuz servis hesabını tanımlamaktadır.
Add-ADComputerServiceAccount –Identity  “Bilgisayar_İsmi “ –ServiceAccount  “Oluşturduğumuz Servis Hesabı”
Şu anda Servis hesabı oluşturuldu ve oluşturulan bu servis hesabını kullanacak olan bilgisayar ile ilişkilendirilmesini tamamladık.
En son adımda ise oluşturulan bu servis hesabını kullanacak olan bilgisayar için bu servis hesabının yüklenmesi işlemine…
Bunu yapabilmek için kullanılacak bilgisayar üzerinde
RSAT ( Remote Server Administration Tools) yüklenmesi gerekmekte…

Yukarıda görüldüğü üzere gereken bileşenleri servis hesabını kullanacak olan bilgisayar üzerinde yapılandırıyoruz.
Yükleme işlemi bittikten sonra  gereken servis hesabını bilgisayar hesabı ile ilişkilendireceğiz…

Install-ADServiceAccount –Identity ServiceAccount
Komutu ile oluşturduğumuz ve bilgisayar hesabı ile ilişkilendirdiğimiz Servis hesabını bilgisayarımıza yükleme işlemini bitiriyoruz…
Service hesabını görüntülemek için

Get-ADServiceAccoun –Identity ServiceAccount
Komutu ile servis hesabının durumunu görüntüleyebiliriz.
Şimdi ise servis hesabını atayalım

Şeklinde servis hesabını bulup bizim ilişkilendirdiğimiz servis adını bulup seçiyoruz.

Yukarıda da görüldüğü üzere servis için bizim oluşturduğumuz ve ilişkilendirdiğimiz servis hesabını atadık.Passwor kısmını ise boş bırakacağız ki kendisi bu kısımda şifreleme işini de kendisi oluşturuyor olacak…

Yorum Bırak »