MSSQL PaaS gMSA Definition
Es wird für jeden Service auf einer VM ein dedizierter gMSA erzeugt. Dieser kann nur auf der Windows Instanz verwendet werden für den die der Account erzeugt wurde. Diese Accounts werden von Automation User «ix_dbautomation-w» erzeugt. Wenn eine Instanz gelöscht wird, wir die Accounts wieder von AD entfernt. die gMSA werden in der OU des MSSQL Service im AD in der zugehörigen OU (Users) abgelegt.
Logon As a Service
Um den gMSA für Logon as a Service zu berechtigen, wird in der OU des MS-SQL Server eine dedizierte GPO für Logon as a Service erstellt. Zusätzlich wird eine AD Gruppe in der OU des MS-SQL Server erstellet und der der GPO verlinkt, sodass jedes Mitglied der AD-Gruppe die Berechtigung Logon as a Service auf alle Computer innerhalb der OU (Computers) des MS-SQL Service erhält.
Definition Group Managed Service Accounts
Group Managed Service Accounts / Managed Service Accounts / Service Accounts
Weil der samAccountName eine maximale Länge von 20 bzw. 15 Zeichen mit sich bringt, kann der Name des Objects nach der Erstellung entsprechend dem Bedarf auch umbenannt werden (das Attribute CN, hat keine solche Beschränkung)
gMSA > MSA > SA
Group Managed Service Accounts (gMSA) sind nach möglichkeit immer einem "klassischen" Service Account vorzuziehen. Leider gibt es Applikationen und Services die mit diesem AccountTyp nicht umgehen können. In diesem Fall kann natürlich von der Verwendung eines gMSA abgesehen werden. Die Erfahrung zeigt, dass viele Applikationen mit einem gMSA funktionsfähig sind auch wenn dies nicht expliziet dokumentiert bzw. beschrieben ist. Ein Überprüfung ist daher meistens wünschenswert. gMSA werden standardmässig immer in dem Container "Managed Service Accounts" erstellt. Dieser befindet sich immer im Root Domain Naming Context. Die gMSA Objekte sollte immer in die jeweilige Service OU verschoben werden.
Group Managed Service Accounts vs. Managed Service Accounts
Managed Service Accounts wurden mit Windows Server 2008 R2 eingeführt und mit Windows Server 2012 zu Group Managed Service Accounts weiterentwickelt. Die Verwendung von Managed Service Accounts ist somit nur noch in Domänen angebracht die noch nicht auf das Server 2012 AD-Schema updated wurden und entsprechend keinen Domain Controller mit Windows Server 2012 oder neuer haben.
Group Managed Service Accounts vs. Service Accounts
gMSA Accounts sind vom Objekt-Type dem Computer Objekt abgeleitet. Dadurch ergibt sich, dass bei der Verwendung eines gMSA, wie auch bei einem Computer- Konto der samAccountName mit einem "$" endet.
Ebenfalls werden die selben resetriktionen angewendet d.h. die maximale länge des samAccountNames des gMSA ist auf 15 Zeichen limitiert.
Zusammensetzung
| Präfix | Suffix | Hauptteil | Beispiel |
|---|---|---|---|
| m |
S: SQL Service I: Integration Service D: Analisys Service (MultiDim) T: Analisys Service (Tabular Model) R: Reporting Service P: Polybase Service M: Monitoring U: Audit H: Housekeeping B: Backup C: Cluster |
Voller Computername → beides zusammen max. 15 Zeichen |
Service: MSSQL m-IXI-SQL0001-a |