Muitas vezes possuímos um serviço em nossa organização que necessita de um usuário e senha para rodar, como backup, banco de dados ou outro sistema qualquer.
Uma solução simples para isso seria criar um usuário comum, uma senha, e adicioná-lo ao serviço, no entanto isso implicaria em problemas em caso de alteração da senha, alteração do usuário e outras movimentações possíveis.
A fim de evitar essas ocorrências, temos como solução a criação de uma conta de serviço, utilizada especificamente para o serviço proposto e com senha gerenciada pelo próprio sistema.
Abaixo explico como criar esse tipo de conta em um ambiente Windows Server, a partir da versão 2008 R2. Todo processo é efetuado via Power Shell.
Primeiramente, devemos abrir o console do Power Shell em modo Administrador.
O primeiro comando utilizado tem como finalidade criar a chave raiz KDS (Service Translation Key), responsável pela geração das senhas de forma automática e o gerenciamento destas.
Para isso, digitamos o seguinte comando:
Add-KdsRootKey -EffectivetIME ((get-date).addhours(-10))
O parâmetro ((get-date).addhours(-10)) atrasa a alteração das senhas em 10 horas, tendo como objetivo não intervir nos serviços aos quais a conta está vinculada, que poderia acarretar erros caso a senha fosse trocada no meio de algum processo.
O retorno do comando será algo semelhante a este:
Com o serviço de KDS criado, o próximo passo é criar a conta de serviço no AD DS, utilizando o seguinte comando:
New-ADServiceAccount -Name “nomedaconta” -DNSHostname “nomedoservidor” –PrincipalsAllowedToRetrieveManagedPassword “nomedoservidor$“
Deve-se substituir os parâmetros entre ” ” pelos dados do seu próprio ambiente.
“nomedaconta” = Nome da conta de serviço que irá criar.
“nomedoservidor” = Nome do Servidor AD do ambiente.
Abaixo segue o exemplo que irei utilizar:
New-ADServiceAccount -Name “Backup” -DNSHostname “SRV01” –PrincipalsAllowedToRetrieveManagedPassword “SRV01$“
Notem que no último parâmetro, mantemos o $, este símbolo faz referência de que esta é uma conta de serviço.
Após a criação da conta, temos de fazer a vinculação desta conta ao computador no qual o serviço irá rodar.
No meu caso, o serviço será executado no próprio servidor AD.
Comando:
Add-ADComputerServiceAccount -Identity “nomedoservidor” -ServiceAccount “nomedaconta“
No meu caso, o comando ficará assim:
Add-ADComputerServiceAccount -Identity “SRV01” -ServiceAccount “Backup“
Para validarmos se a conta foi criada com sucesso, podemos rodar o comando:
Get-ADServiceAccount -filter *
Podemos visualizar a conta em Usuários e Computadores do Active Directory.
A exibição das contas de serviço não vem habilitadas por padrão, para visualizarmos devemos ir em Exibir/Recursos Avançados.
Após a habilitação, será exibida uma Unidade Organizacional Managed Service Accounts, se tudo deu certo, a conta de serviço estará dentro dela.
Para adicionarmos a conta a um serviço, podemos abrir os serviços do Windows.
Abra o serviço desejado (Botão direito, Propriedades)
Clique em logon, selecione esta conta e entre com a conta criada, seguida do $ (Indica que é uma conta de serviço), a senha será criada automaticamente (apague a senha que vem por padrão) e alterada de 30 em 30 dias para fins de segurança.
Será apresentado o seguinte resultado final:
Com isso temos um conta de serviço criada e configurada.
Obrigado e até a próxima!
Seja o primeiro a comentar