Configurer un Group Managed Service Account pour utilisation avec Devolutions Server

Cet article contient les étapes pour configurer un Group Managed Service Account (gMSA) avec Devolutions Server. Cette opération n'est possible que pour les systèmes d'exploitation Windows.

1. Créer une clé racine KDS. Effectuer cette opération sur le contrôleur de domaine si c'est la première fois que vous utilisez un gMSA.

   Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10))
   

2. Créer un groupe Active Directory pour les hôtes autorisés de Devolutions Server.

   New-ADGroup -Name "DVLS Authorized Hosts" -SamAccountName "DVLSHosts" -GroupScope DomainLocal
   

3. Créer un gMSA sur le contrôleur de domaine.

   New-ADServiceAccount -Name "DVLS_Runner" -DnsHostName "dvls01.domain.local"
   -ServicePrincipalNames "http/DVLS_Runner.domain.local" `
   -PrincipalsAllowedToRetrieveManagedPassword "DVLSHosts"
   
   New-ADServiceAccount -Name "DVLS_Sched" -DnsHostName "dvls01.domain.local"
   -ServicePrincipalNames "sched/DVLS_Sched.domain.local" `
   -PrincipalsAllowedToRetrieveManagedPassword "DVLSHosts"
   

4. Ajouter les gMSAs au groupe Azure AD.

   Add-ADGroupMember -Identity "DVLSHosts" -Members "DVLS_Runner$"
   Add-ADGroupMember -Identity "DVLSHosts" -Members "DVLS_Sched$"
   

5. Ajouter le compte ordinateur DVLS01 au groupe DVLSHosts. Les ordinateurs devront être redémarrés après cette étape; le faire via Utilisateurs et Ordinateurs d'Active Directory ou en utilisant PowerShell.

6. Sur DVLS01, installer les gMSAs. Le module Active Directory PowerShell est requis.

   Install-ADServiceAccount DVLS_Runner
   Install-ADServiceAccount DVLS_Sched
   

7. Configurer le pool d'applications IIS pour s'exécuter sous domain.local\DVLS_Runner$. Accorder les droits de connexion par lot : soit attribuer Se connecter en tant que tâche de lot dans Objet stratégie de groupe ou ajouter le compte DVLS_Runner$ au groupe IIS_IUSRS.

   Les champs des mots de passe resteront vides, ce qui est le comportement attendu pour un gMSA.
   

8. Configurer le service planificateur de Devolutions :

   • Ouvrir la Console des Services de Windows (service.msc).

   • Clic-droit sur DevolutionsSchedulerService, et cliquer sur Propriétés – onglet Connexion.

   • Cocher Ce compte, et entrer domain.local\DVLS_Sched$.

   • Cliquer sur Parcourir pour trouver le compte.

   • Laisser les champs des mots de passe vides.

   L'autorisation Se connecter en tant que service est accordée automatiquement pour les gMSAs.

9. Octroyer les permissions à la base de données dans Devolutions Server Console.

   • Naviguer vers Administration – Modifier – Base de données – Informations d'identification avancées.

   • Activer Appliquer les moindres permissions.

   • Définir les comptes DVLS_Runner$ et DVLS_Sched$ dans leurs champs respectifs.

10. Redémarrer DVLS01, confirmer que le pool d'applications et le planificateur démarrent correctement, et s'assurer que l'interface web Devolutions Server et les tâches de fond fonctionnent correctement.