Msa : création de compte de service managé en PowerShell pour une base MS SQL

Kerberos active directory AD authentification

Plan

  1. Introduction aux comptes managés
  2. Création des comptes de services en PowerShell
  3. Ajout des comptes de services sur l’ordinateur cible (serveur SQL dans notre exemple)
  4. Installation des comptes

 

 

•Créer le compte de services en exécutant la commande suivante :New-AdServiceAccount <Nom Du Compte> -AccountPassword (ConvertTo-SecureString –AsPlainText “<mot de passe>” –Force) –Enabled $true –Path “CN=Managed Service Accounts,DC=,DC=COM”

•Associer le compte de service à l’ordinateur client en exécutant la commande suivante :

 

Add-ADComputerServiceAccount –Identity <Nom Ordinateur> –ServiceAccount <Nom du compte>

•Installer le compte de service sur l’ordinateur client (cette commande soit être exécutée sur le poste qui utilisera le compte de service géré)

 

Install-ADServiceAccount –Identity <Nom du compte>

•Vérifier que le compte de service à été bien affecté au compte de la machine au niveau Active Directory en explorant les propriétés de l’objet ordinateur en question avec ADSI Edit et en cherchant l’attribut msDS-HostServiceAccount

 

 

Procédure de mise en place des comptes MSA SQL 2008 R2 2012R2, 2016

Introduction aux comptes managés

[paycontent]

 

1 Commandes en Powershell sur un DC (Valable pour AD 2008 – société uniquement):

windir\system32\WindowsPowerShell\v1.0\powershell.exe -noexit -command import-module ActiveDirectory

New-ADServiceAccount -Name ServerName_SQLAdH -Description « Description – SQL Server Active Directory Helper » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLAgn -Description « Description – SQL Server Agent » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLAna -Description « Description – SQL Server Analysis Services » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLBrw -Description « Description – SQL Server Browser » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLIns -Description « Description – Service instance SQL Server » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLInt -Description « Description – SQL Server Integration Services » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLRep -Description « Description – SQL Server Report Server » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLTxt -Description « Description – SQL Server FullText Search » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLVss -Description « Description – SQL Server VSS Writer » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLDrc -Description « Description – SQL Server Distributed Replay Controller » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLDc -Description « Description – SQL Server Distributed Replay Client » -Enabled $true

 

Commandes en Powershell sur un DC (Valable pour AD 2012 – fourn uniquement):

windir\system32\WindowsPowerShell\v1.0\powershell.exe -noexit -command import-module ActiveDirectory

New-ADServiceAccount -Name ServerName_SQLAdH -RestrictToSingleComputer -Description « Description – SQL Server Active Directory Helper » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLAgn -RestrictToSingleComputer -Description « Description – SQL Server Agent » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLAna -RestrictToSingleComputer -Description « Description – SQL Server Analysis Services » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLBrw -RestrictToSingleComputer -Description « Description – SQL Server Browser » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLIns -RestrictToSingleComputer -Description « Description – Service instance SQL Server » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLInt -RestrictToSingleComputer -Description « Description – SQL Server Integration Services » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLRep -RestrictToSingleComputer -Description « Description – SQL Server Report Server » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLTxt -RestrictToSingleComputer -Description « Description – SQL Server FullText Search » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLVss -RestrictToSingleComputer -Description « Description – SQL Server VSS Writer » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLDrc -RestrictToSingleComputer -Description « Description – SQL Server Distributed Replay Controller » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLDc -RestrictToSingleComputer -Description « Description – SQL Server Distributed Replay Client » -Enabled $true

 

2 Puis les commandes suivantes sont communes à AD 2008 et AD 2012:

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLAdH

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLAgn

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLAna

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLBrw

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLIns

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLInt

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLRep

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLTxt

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLVss

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLDrc

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLDc

 

3 Sur le serveur SQL

DISM /online /enable-feature /all /featurename=ActiveDirectory-PowerShell

Commandes en Powershell :

Install-ADServiceAccount -Identity Name_SQLAdH

Install-ADServiceAccount -Identity Name_SQLAgn

Install-ADServiceAccount -Identity Name_SQLAna

Install-ADServiceAccount -Identity Name_SQLBrw

Install-ADServiceAccount -Identity Name_SQLIns

Install-ADServiceAccount -Identity Name_SQLInt

Install-ADServiceAccount -Identity Name_SQLRep

Install-ADServiceAccount -Identity Name_SQLTxt

Install-ADServiceAccount -Identity Name_SQLVss

Install-ADServiceAccount -Identity Name_SQLDrc

Install-ADServiceAccount -Identity Name_SQLDc

 

[/paycontent]

One thought on “Msa : création de compte de service managé en PowerShell pour une base MS SQL”

Laisser un commentaire