Hi Leute,
ich bin dabei, meine Domäne für die Dienstkonten auf "Group managed service accounts" (gMSA) unter 2012R2 umzustellen.
Die Einrichtung hat soweit geklappt aber es stellt sich jetzt eine sicherheitskritische Frage:
Einige der Dienste müssen auf Ordnerstrukturen zugreifen, bei denen sehr granular die Rechte gesetzt sind. Dort die Rechte für den neuen Serviceaccount manuell oder per Script zu ergänzen wäre sehr schwierig/aufwändig/fehleranfällig.
Die einfachtse Idee wäre, den Serviceaccount in die Gruppe der Dom-Admins aufzunehmen, denn diese haben auf die Struktur bereits die richtigen Rechte.
Mach mich mir damit die ganze Sicherheitssache wieder kaputt? Wie würde Ihr so was lösen?
Viele Grüße Dirk