Criando uma Conta de Serviço no Active Directory

Muitas vezes possuímos um serviço em nossa organização que necessita de um usuário e senha para rodar, como backup, banco de dados ou outro sistema qualquer.

Uma solução simples para isso seria criar um usuário comum, uma senha, e adicioná-lo ao serviço, no entanto isso implicaria em problemas em caso de alteração da senha, alteração do usuário e outras movimentações possíveis.

A fim de evitar essas ocorrências, temos como solução a criação de uma conta de serviço, utilizada especificamente para o serviço proposto e com senha gerenciada pelo próprio sistema.

Abaixo explico como criar esse tipo de conta em um ambiente Windows Server, a partir da versão 2008 R2. Todo processo é efetuado via Power Shell.

Primeiramente, devemos abrir o console do Power Shell em modo Administrador.

Acessar PowerShell como Admin

O primeiro comando utilizado tem como finalidade criar a chave raiz KDS (Service Translation Key), responsável pela geração das senhas de forma automática e o gerenciamento destas.

Para isso, digitamos o seguinte comando:

Add-KdsRootKey -EffectivetIME ((get-date).addhours(-10))

O parâmetro ((get-date).addhours(-10)) atrasa a alteração das senhas em 10 horas, tendo como objetivo não intervir nos serviços aos quais a conta está vinculada, que poderia acarretar erros caso a senha fosse trocada no meio de algum processo.

O retorno do comando será algo semelhante a este:

Retorno comando KDS

Com o serviço de KDS criado, o próximo passo é criar a conta de serviço no AD DS, utilizando o seguinte comando:

New-ADServiceAccount -Namenomedaconta-DNSHostname nomedoservidor” –PrincipalsAllowedToRetrieveManagedPasswordnomedoservidor$

Deve-se substituir os parâmetros entre ” ” pelos dados do seu próprio ambiente.

“nomedaconta” = Nome da conta de serviço que irá criar.

“nomedoservidor” = Nome do Servidor AD do ambiente.

Abaixo segue o exemplo que irei utilizar:

New-ADServiceAccount -NameBackup-DNSHostname SRV01” –PrincipalsAllowedToRetrieveManagedPasswordSRV01$

Notem que no último parâmetro, mantemos o $, este símbolo faz referência de que esta é uma conta de serviço.

Criação da Conta de Serviço

Após a criação da conta, temos de fazer a vinculação desta conta ao computador no qual o serviço irá rodar.

No meu caso, o serviço será executado no próprio servidor AD.

Comando:

Add-ADComputerServiceAccount -Identitynomedoservidor-ServiceAccountnomedaconta

No meu caso, o comando ficará assim:

Add-ADComputerServiceAccount -IdentitySRV01-ServiceAccountBackup

Vínculo da Conta com o Computador

Para validarmos se a conta foi criada com sucesso, podemos rodar o comando:

Get-ADServiceAccount -filter *

Resultado do Processo

Podemos visualizar a conta em Usuários e Computadores do Active Directory.

A exibição das contas de serviço não vem habilitadas por padrão, para visualizarmos devemos ir em Exibir/Recursos Avançados.

Após a habilitação, será exibida uma Unidade Organizacional Managed Service Accounts, se tudo deu certo, a conta de serviço estará dentro dela.

Conta de Serviço Localizada na OU

Para adicionarmos a conta a um serviço, podemos abrir os serviços do Windows.

Serviços do Windows

Abra o serviço desejado (Botão direito, Propriedades)

Clique em logon, selecione esta conta e entre com a conta criada, seguida do $ (Indica que é uma conta de serviço), a senha será criada automaticamente (apague a senha que vem por padrão) e alterada de 30 em 30 dias para fins de segurança.

Configuração da Conta no Serviço

Será apresentado o seguinte resultado final:

Com isso temos um conta de serviço criada e configurada.

Obrigado e até a próxima!

Sobre Jhonathan Chaves 58 Artigos
Amante de novas tecnologias, apaixonado pela família e louco pelo Corinthians.

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*