Msa : création de compte de service managé en PowerShell pour une base MS SQL

Kerberos active directory AD authentification

Comment creer un Msa : compte de service managé en PowerShell pour une base MS SQL

Plan

  1. Introduction aux comptes managés
  2. Création des comptes de services en PowerShell
  3. Ajout des comptes de services sur l’ordinateur cible (serveur SQL dans notre exemple)
  4. Installation des comptes

• Créer le compte de services en exécutant la commande suivante :New-AdServiceAccount <Nom Du Compte> -AccountPassword (ConvertTo-SecureString –AsPlainText “<mot de passe>” –Force) –Enabled $true –Path “CN=Managed Service Accounts,DC=,DC=COM”

• Associer le compte de service à l’ordinateur client en exécutant la commande suivante :

Add-ADComputerServiceAccount –Identity <Nom Ordinateur> –ServiceAccount <Nom du compte>

•Installer le compte de service sur l’ordinateur client (cette commande soit être exécutée sur le poste qui utilisera le compte de service géré)

Install-ADServiceAccount –Identity <Nom du compte>

•Vérifier que le compte de service à été bien affecté au compte de la machine au niveau Active Directory en explorant les propriétés de l’objet ordinateur en question avec ADSI Edit et en cherchant l’attribut msDS-HostServiceAccount

Procédure de mise en place des comptes MSA SQL 2008 R2 2012R2, 2016

Introduction aux comptes managés Microsoft – MSA

1 Commandes en Powershell sur un DC (Valable pour AD 2008 – société uniquement)

windir\system32\WindowsPowerShell\v1.0\powershell.exe -noexit -command import-module ActiveDirectory

New-ADServiceAccount -Name ServerName_SQLAdH -Description « Description – SQL Server Active Directory Helper » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLAgn -Description « Description – SQL Server Agent » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLAna -Description « Description – SQL Server Analysis Services » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLBrw -Description « Description – SQL Server Browser » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLIns -Description « Description – Service instance SQL Server » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLInt -Description « Description – SQL Server Integration Services » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLRep -Description « Description – SQL Server Report Server » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLTxt -Description « Description – SQL Server FullText Search » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLVss -Description « Description – SQL Server VSS Writer » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLDrc -Description « Description – SQL Server Distributed Replay Controller » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLDc -Description « Description – SQL Server Distributed Replay Client » -Enabled $true

Commandes en Powershell pour créer les comptes de service managés MSA sur un DC

 
(Valable pour AD 2012 - fourn uniquement)

windir\system32\WindowsPowerShell\v1.0\powershell.exe -noexit -command import-module ActiveDirectory

New-ADServiceAccount -Name ServerName_SQLAdH -RestrictToSingleComputer -Description « Description – SQL Server Active Directory Helper » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLAgn -RestrictToSingleComputer -Description « Description – SQL Server Agent » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLAna -RestrictToSingleComputer -Description « Description – SQL Server Analysis Services » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLBrw -RestrictToSingleComputer -Description « Description – SQL Server Browser » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLIns -RestrictToSingleComputer -Description « Description – Service instance SQL Server » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLInt -RestrictToSingleComputer -Description « Description – SQL Server Integration Services » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLRep -RestrictToSingleComputer -Description « Description – SQL Server Report Server » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLTxt -RestrictToSingleComputer -Description « Description – SQL Server FullText Search » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLVss -RestrictToSingleComputer -Description « Description – SQL Server VSS Writer » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLDrc -RestrictToSingleComputer -Description « Description – SQL Server Distributed Replay Controller » -Enabled $true

New-ADServiceAccount -Name ServerName_SQLDc -RestrictToSingleComputer -Description « Description – SQL Server Distributed Replay Client » -Enabled $true

2 Création des MSA : commandes communes à un AD 2008 et 2012

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLAdH

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLAgn

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLAna

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLBrw

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLIns

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLInt

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLRep

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLTxt

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLVss

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLDrc

Add-ADComputerServiceAccount -Identity ServerName -ServiceAccount ServiceName_SQLDc

3 Ajouter vos comptes de services managé sur le serveur SQL

DISM /online /enable-feature /all /featurename=ActiveDirectory-PowerShell

Commandes en Powershell :

Install-ADServiceAccount -Identity Name_SQLAdH

Install-ADServiceAccount -Identity Name_SQLAgn

Install-ADServiceAccount -Identity Name_SQLAna

Install-ADServiceAccount -Identity Name_SQLBrw

Install-ADServiceAccount -Identity Name_SQLIns

Install-ADServiceAccount -Identity Name_SQLInt

Install-ADServiceAccount -Identity Name_SQLRep

Install-ADServiceAccount -Identity Name_SQLTxt

Install-ADServiceAccount -Identity Name_SQLVss

Install-ADServiceAccount -Identity Name_SQLDrc

Install-ADServiceAccount -Identity Name_SQLDc

One thought on “Msa : création de compte de service managé en PowerShell pour une base MS SQL”

Laisser un commentaire