سلام خدمت دوستان و عزیزان آیتی پرویی ، همانطور که در نکته اول اشاره شد یکی از مهمترین معیار های امنیت برای سطح دسترسی اپلیلیشن ها و سرویس ها این است که نوع اکانت(account) انها چگونه باشد که به دو مورد local computer و domain account اشاره شد و در مورد انواع local account ها مواردی مطرح شد .در این قسمت بیشتر در مورد domain account مواردی خدمتتون عرض میکنم که امیدوارم مورد توجهتان قرار گیرد. یکی از مهمترین مسائل در domain account بحث پسورد و مدیریت آن میباشد.
اگر شما بخواهید سرویس یا اپلیکیشن خود دسترسی سطح دامین بدهید با یک مشکل اساسی رو به رو خواهید شد و ان هم مسئله ی تظیم و مدیریت پسورد به صورت دستی میباشد .manage service account این قابلیت را به سرویس هایی مانند sql server و exchange server و IISو...میدهند تا خودشان پسورد را به صورت اتوماتیک مدیریت کنند . برای اینکه بتوانیم این قابلیت رو برای اپلیکیشن مورد نظر اجرا کنیم باید باید به سراغ Windows PowerShell cmdletsبرویم .
ابتدا به سراغ active directory users and computer همانطور که مشاهده میکنید قسمت manage service account وجود دارد ولی به صورت پیش فرض خالی میباشد ما در این قسمت میخواهیم برای وب سرور یک manage service account ایجاد کنیم .
حال به server managerرفته و active directory module for windows powershell را انتخاب میکنیم
یکی از مهمترین قسمتها در msa(manage service account) ایجاد root key میباشد و آن را به صورت زیر ایجاد میکنیم
(-10hour)بخاط این است که به صورت پیش فرض تا فعال کردن 10 ساعت طول میکشد و ما میگوییم همین حالا فعال کن.حال msa مورد نظر را ایجاد میکنیم ،(مقابل name نام سرویس اکانت که در اینجا itpro-webmsa است را وارد میکنیم و مقابل dns host name آدرس دامین کنترلر (ادرس dns آن))
سپس در مرحله ی بعد نوبت نام host computer که سروسی وب راه اندازی شده است را وارد میکنیم و مقابل service account name نام msa مورد نظر را را وارد میکنیم
همانطور که مشاهده میکنید msa مورد نظر ساخته شده است
حال میخواهیم به سراغ سرور IIs برویم و این سرویس را به عنوان logon account برای این سرور قرار دهیم توجه داشته باشید.از default app pool گزینه ی advance setting را انتخاب کرده و در پنجره مشاهده شده به سراغ identity میرویم و custom را انتخاب کرده و اکانت ایجادی را وارد میکنیم
وحال نام دامین و msa را همراه $ بدون رمز وارد میکنیم
و همانطور که مشاهده میکنید msa بدرستی برای web server فعال شده است
موفق و سرزنده بباشید
#مدیریت_service_account_های_ویندوز #service_account_در_ویندوز #مدیریت_اکانت_سرویس_ها_در_ویندوز #معرفی_سرویس_های_ویندوز #معرفی_سرویس_های_ویندوز_سرور #نگهداری_از_service_account_در_ویندوز #تنظیمات_سرویسهای_ویندوز #تنظیمات_service_account_در_ویندوز
من فکر می کنم اگر در قالب سئوال مطرح می کردید بهتر بود اما اینو بدونید که اون Login انواع و اقسام داره و وقتی زمانش برسه Expire خواهد شد ، ما چندین نوع Login داریم که هر کدوم برای خودش تعریف داره و اینکار شما با این روش برای User و سرویس جواب نمیده تا جاییکه من میدونم :
با سلام و خسته نباشید خدمت جناب آقای مهندس علی حقیقی
از مقاله خیلی خوبتون ممنونم
من یک سئوالی از حضور شما داشتم من یک سرور active directory دارم و یک سرور sql server دارم البته با vmware.
حالا من یک اکانت عادی در active directory تعریف می کنم و این اکانت را به سرویس database engine در حقیقت sql server نسبت می دهم با این که من msa اکانت راه اندازی نکرده ام و اکانت عادی تعریف کرده ام و تنظیمات اکانت را بر روی password never expire هم تنظیم کردم و برای اینکه اکانت سرویس sql server در حقیقت expire بشود آمدم 60 روز تاریخ سرور active directory را به جلو بردم و سرور sql server را ریستارت کردم دیدم که سرویس مورد نظر استارت هست و پسورد هم نمی خواهد.
در حقیقت خود شما می دانید که msa اکانتها نیازی به پسورد ندارند و خودشان پشت قضیه تغییر می کنند حالا این توضیحاتی که من در بالا دادم تفاوتش با msa اکانت در چیست چون هر جفتشون پسورد نمی خواهند و موقع ریستارت شدن سرویس sql server استارت می شود چون من با msa اکانتها هم خیلی کار کرده ام.
حالا مهندس جان اگر به جای password never expire ما از User Must Change Password At Next Logon استفاده بکنیم و تاریخ active directory را برای مثال 60 روز به جلو ببریم و سرور sql server را ریستارت کنیم می بینیم که سرویس مورد نظر استارت نمی شود و اکانت غیر فعال می شود چون پسورد اکانت باید تغییر کند و پسورد قبلی نیست.
ممنون می شوم که منرا راهنمایی می کنید.
با تشکر از پاسخگویی شما
خب در داخل آموزش خودتون پس چرا از این دستور استفاده ای نکردید؟install -adservice
سوال جدید:هز زمانی که بخواییم از سرویس اکانت روی هاست جدید استفاده کنیم باید با Add-ADComputerServiceAccount هاست جدید رو اضافه و سپس install کنیم؟یا لازم نیست و میتونیم روی هر هاستی که خواستیم سرویس رو لاگین کنیم؟(چون تست کردم بدون اضافه کردن هاست ، سرویس لاگین شد)
سلام دوست عزیز
ببینید در مورد سوال اولتون اینکه install -adservice تنظیمات مربوط به هاست یا کلاینتی است که میخواهید این service account روی اون فعال بشود و باید روی host شما این قابلیت فعال باشد
در مورد سوال دوم شما فرض کنید میخواهید این msa را به چند وب سرور( یا هر سرویس دیگری)اعمال کنید در msa فقط میتوانستید به یک سرور قابلیت عوض کردن اتوماتیک پسورد را بدهید ولی مایکروسافت در سرور 2012 یک قابلیتی مایکروسافت اضافه کرد به نام gmsa که شما میتوانید با ایجاد یک gmsa این تنظیمات را به چند سرور اعمال کنید پس بله با این دستور میشه همون کاری گفتید رو انجام داد
با عرض سلام و خسته نباشید از وبسایت خوبتون
2تا سوال داشتم در رابطه با مدیریت و نگهداری از Service Account ها در ویندوز
1- ایا بعد از اینکه کلید ساخته میشه نیاز به نصب کلید با استفاده از دستور <Install-ADServiceAccount –Identity <MSA Name هستش یا نه و اگر همه جا کاربرد نداره یه توضیح مختصر لطفا راجع به این دستور بدین ممنون میشم.
2- در رابطه با دستور PrincipalsAllowedToRetrieveManagedPassword- که در زمان ساخت سرویس مورد استفاده قرار میگیره اطلاعاتی رو بدید؟و اینکه ایا میشه با این دستور ما از یه گروه برای ساخت و اعمال کلید بر روی یک سری از host ها استفاده کنیم؟
خواهش میکنم.
من نگفتم Featureی به نام MSA در Windows Server 2012 وجود ندارد همچنین منکر عملکرد آن هم نشدم. فقط به این شاره کردم که ما چیزی به اسم MSA در ویندوز سرور 2012 نداریم تعقیر نام داد. (حتی اگر در داکیومنتها از آن به عنوان MSA یاد کنند)
همچنین gMSA عملکرد آن با MSA فرق کرده است. و همچنین تنظیمات آن در Windows Server 2008 با Windows Server 2012 تا حدودی متفاوت است.
ممنون
و همچنین از لحاظ ظاهری همانطور که در شکل یک هم مشخص است عنوان همان است یعنی manage service account تغییری نکرده است ولی اینکه بگید msa در سرور 2012 وجود نداره ، خود مایکروسافت هنگام توضیح این مبحث ابتدا msa در سرور 2012 رو توضیح داده سپس گفته تنضیمات gmsa همون msa هستش که میشه به چند سرور اعمال کرد و برای اعمال به چند سرور دستورشو توضیح داده
این تصویر مربوط به توضیح msa هست و تصویر پایین توضیح gmsa هستش
خیلی ممنون جناب مهندس جهلولی از حسن نظرتون و اینکه پیشرفت زمانی حاصل میشود که کاستی های کار نیز معلوم شود .
در مورد group manage service account قصور از من بود و خیلی ممنون از این که شما این نکته رو کامل کردین .
هنوزم استاد ما هستی مهندس.
بحث خوب همیشه خوبه ، خیلی ممنون جناب جهلولی عزیز ، من که دیگه بازنشسته شدم از ویندوز از دانش دوستان استفاده می کنم همینکه تو مطلب اشاره بشه در چه ویندوزهایی قابل استفاده هست فکر می کنم اوکی باشه ، با توجه به اینکه خیلی از سیستم عامل های امروزی 2008 نسخه R2 هستند.