gMSA aanmaken
Last updated
Was this helpful?
Last updated
Was this helpful?
Ik heb een gewone Domain Controller (DC).
Mijn 2de server (splunkmon) en mijn client zijn aan het domein toegevoegd.
Internet toegang is niet nodig. Ik heb splunk gewoon naar mijn VM gekopïeerd.
Je moet eerst een [Key Distribution Services Root Key]()) aanmaken. In een echte omgeving zit er een 10 uur timer op om alle Domain Controllers de kans te geven deze te syncen. Vermits ik slechts 1 DC heb, voer ik een foefje uit dat ze aanraden als je niet wenst te wachten: Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
Eerst maak ik een global group (gg-splunk) aan waarin ik mijn Splunk-server (splunkmon)steek. Eigenlijk had ik -volgens Best Practice- een Domain Local moeten aanmaken. Oops! Vergeet niet computers aan te duiden bij object types!
Op mijn screenshot zal je ook zien dat ik reeds een OU heb aangemaakt, genaamd GMSA. Hieronder ga ik straks nog de OUs "computers" en "users" aanmaken. Om het overzichtelijker te houden.
Normaal zou je zo goed als meteen je gMSA moeten kunnen aanmaken: New-ADServiceAccount -name gMSASplunk -DNSHostName gMSASplunk.theleague.com -PrincipalsAllowedToRetrieveManagedPassword GG-Splunk
Vervolgens moeten we dus op de Splunk server deze account gaan toevoegen. Daarvoor hebben we wel de Active Directory Powershell module nodig. Deze voegen we eerst toe.
Add-windowsfeature rsat-ad-powershell
Het toevoegen van de gMSASplunk account volgt hier meteen op.
Install-ADServiceAccount gMSASplunk
Om het vervolgens toch even uit te testen.
Test-ADServiceAccount gMSASplunk
Dit zijn de eerste stappen om onze gMSA aan te maken en aan de server toe te voegen. Op naar het aanmaken van GPO's!
Je merkt dat er niet veel resultaat aan te pas komt in Powershell. Daarom dat ik bij volgende cmdlets telkens "-verbose" begin toe te voegen.
Maar hij is dus wel degelijk aangemaakt!
