Compte de service Active Directory
L'une des tâches les plus courantes fréquemment effectuées par les administrateurs réseau ou systèmes, non seulement lors du déploiement mais également dans la gestion quotidienne des systèmes d'exploitation (OS) Windows Server et des applications qui s'exécutent sur ceux-ci, consiste à créer et à gérer des utilisateurs. comptes.
Dans Windows Active Directory (AD), une gamme de différents types de comptes d'utilisateurs peut être configurée avec les autorisations, l'accès et les rôles nécessaires. Les comptes de service constituent une partie importante de ces types de comptes utilisateur.
Dans cet article, nous expliquerons les comptes de service AD, comment les créer dans PowerShell et les meilleurs outils pour gérer les comptes de service AD. Espérons que cela vous aidera à mieux comprendre comment utiliser et gérer efficacement les comptes de service AD pour une meilleure sécurité.
Qu'est-ce qu'un compte de service ?
Un compte de service est un compte d'utilisateur créé explicitement pour exécuter un service ou une application particulière sur le système d'exploitation Windows. Si vous créez des comptes de service lors de l'installation d'applications qui les demandent, ils accordent généralement les droits et autorisations de sécurité lorsque les comptes sont créés. Cela se fait selon le principe du moindre privilège, qui accorde aux utilisateurs uniquement les droits et autorisations minimaux dont ils ont besoin.
Par exemple, si un compte de service est créé pour le service de sauvegarde, il ne nécessite pas de droits pour modifier les paramètres du système. Un compte de service créé pour exécuter le service SQL Server ne nécessite pas d'accès pour exécuter des applications. Suivant le principe du moindre privilège, un compte utilisateur avec juste le niveau d'accès requis est créé en tant que compte de service. Vous pouvez souvent être tenté d'utiliser un compte administrateur pour un compte de service, car ils disposent généralement déjà des droits et autorisations nécessaires. Mais ne tombez pas dans le piège. L'avantage du compte de service est que si le compte utilisateur utilisé pour le service devait être compromis, les dommages qui pourraient être causés en utilisant ce compte de service sont minimisés.
Pour mieux comprendre pourquoi un compte de service est requis, regardons ce qui se passe lorsqu'un compte de service n'est pas utilisé. Lorsque vous installez des applications telles que SQL Server, Internet Information Services (IIS) ou SharePoint Services sur un système d'exploitation serveur Windows comme Windows Server 2012 R2, il n'est pas rare que l'application demande un nom d'utilisateur et un mot de passe qui seront utilisés pour l'exécuter. . Pour faire fonctionner l'application, de nombreux administrateurs saisiront simplement un compte utilisateur disposant d'un accès administrateur de domaine. Cette approche pose un certain nombre de problèmes.
Premièrement, si vous utilisez le même compte utilisateur pour un nombre différent d'applications et que le compte utilisateur échoue pour une raison ou une autre, toutes les applications utilisant ce compte de service seront également affectées. Deuxièmement, si le compte est compromis, ce compte de service pourrait être utilisé pour accéder aux ressources du réseau. Plus le compte de service a accès, plus il pourrait causer de dommages potentiels. Troisièmement, le compte de service pourrait empêcher l’exécution des applications et des services qui l’utilisent en modifiant simplement le mot de passe du compte.
Lorsque le mot de passe d'un compte de service est modifié, le mot de passe doit être mis à jour dans tous les emplacements qui utilisent le compte de service. Sinon, l’ancien mot de passe sera toujours utilisé et cela empêchera l’exécution de l’application. Si tous vos services essentiels utilisent le même compte de service et que le mot de passe est modifié, tous les services s'appuyant sur ce compte de service cesseront de fonctionner, entraînant ainsi un déni de service. Bien que les mots de passe des comptes de service soient généralement configurés pour ne pas expirer ; cependant, l’implication est que lorsque vous disposez d’un mot de passe de compte qui n’expire pas, le mot de passe devient beaucoup plus vulnérable au fil du temps.
Comptes de services gérés
Après avoir examiné tous ces défis, Microsoft a introduit les comptes de service gérés (MSA) avec Windows Server 2008 R2 pour automatiser la gestion des comptes de service. L'utilisation de comptes de services gérés signifie que le mot de passe ne peut pas être verrouillé ou utilisé pour une connexion interactive. Au lieu de cela, le compte de service sera automatiquement modifié périodiquement sans aucune intervention de l'administrateur système. Le MSA est lié à un seul ordinateur et ne peut donc pas être partagé entre plusieurs ordinateurs ou un ordinateur avec lequel il n'a pas été conçu pour fonctionner. Cela offre une sécurité supplémentaire. Le MSA peut être classé dans les groupes suivants :
- Compte de service géré autonome (sMSA) : sMSA est un compte de domaine géré qui offre une gestion automatique des mots de passe, une gestion simplifiée du nom principal du service (SPN) et la possibilité de le déléguer à d'autres administrateurs. Le sMSA a été introduit dans Windows Server 2008 R2 pour gérer (modifier) automatiquement les mots de passe des comptes de service. Avec sMSA, les administrateurs système peuvent atténuer le risque de compromission des comptes système exécutant les services système. Cependant, l'un des problèmes majeurs de sMSA est que l'utilisation de ces comptes de service est limitée à un seul ordinateur. Cela signifie que sMSA ne peut pas fonctionner avec les services de cluster ou d'équilibrage de charge réseau, qui fonctionnent simultanément sur plusieurs serveurs ou batteries de serveurs et utilisent le même compte et le même mot de passe.
- Compte de service géré de groupe (gMSA) : Pour résoudre les problèmes associés au sMSA, Microsoft a introduit les comptes de service gérés de groupe (gMSA) dans Windows Server 2012. gMSA fournit la même fonctionnalité au sein du domaine mais étend également cette fonctionnalité sur plusieurs serveurs. Lorsqu'un gMSA est utilisé comme principal de service, le système d'exploitation Windows gère le mot de passe du compte au lieu de compter sur l'administrateur pour gérer le mot de passe.
Comment créer un compte de service dans PowerShell
Windows PowerShell est un shell de ligne de commande et un langage de script basés sur .NET Framework pour permettre aux administrateurs système d'automatiser la gestion des tâches et de la configuration sur le système d'exploitation Windows et les applications qui s'exécutent sur l'environnement Windows Server. Dans PowerShell, les tâches administratives sont généralement effectuées par des applets de commande (prononcécommandes-lett), qui sont des classes .NET spécialisées qui implémentent des fonctions spécifiques.
Dans Windows Server 2012, les applets de commande PowerShell gèrent par défaut les MSA de groupe plutôt que les MSA autonomes d'origine. Pour créer un groupe de comptes de service gérés (gMSA), suivez les étapes ci-dessous :
Étape 1: Créez la clé racine des services de distribution de clés (KDS).
Ceci est utilisé par le service KDS sur le contrôleur de domaine (DC) pour générer des mots de passe. Pour créer la clé racine, ouvrez le terminal PowerShell à partir du module Active Directory PowerShell et exécutez l'applet de commande suivante :
|_+_|Les 8 heures spécifiées ci-dessus impliquent que le service de réplication du service de distribution Active Directory dispose de ce délai pour répliquer les modifications sur d'autres contrôleurs de domaine. Vous pouvez utiliser le code suivant si vous êtes dans un environnement de test :
|_+_|Vous confirmez si la clé a été créée avec succès en exécutant la commande PowerShell suivante :
|_+_|Étape 2: Créez et configurez gMSA.
Pour ce faire, ouvrez le terminal PowerShell et tapez les commandes suivantes :
|_+_|À partir de la commande ci-dessus,
- Le gserviceaccount1 représente le nom du compte gMSA à créer
- Le DC1.comptech.com est le nom du serveur DNS
- Le gserviceaccount1Group est le groupe Active Directory qui comprend tous les systèmes qui doivent être utilisés. Ce groupe doit être créé au préalable dans les Groupes.
Pour confirmer que le compte a été créé, accédez à Gestionnaire de serveur >> Outils >> Utilisateurs et ordinateurs Active Directory >> Comptes de service gérés.
Étape 3: Installez le MSA sur un ordinateur hôte du domaine et rendez le MSA disponible pour une utilisation par les services sur l'ordinateur hôte.
Pour installer gMSA sur un ordinateur, ouvrez le terminal PowerShell et tapez les commandes suivantes :
|_+_|Pour confirmer que l'installation de gMSA a réussi, exécutez la commande suivante :
|_+_|Si l'installation a réussi, le résultat devrait renvoyer « Vrai » après avoir exécuté la commande, comme indiqué dans la capture d'écran ci-dessous.
Étape 4: Configurez un service pour utiliser le compte comme identité de connexion.
Pour faire ça, suit les étapes suivantes:
- Ouvrez le gestionnaire de serveur.
- Cliquez sur Outils >> Services pour ouvrir la console Services
- Double-cliquez sur le service pour ouvrir la boîte de dialogue Propriétés des services
- Cliquez sur l'onglet Connexion
- Sélectionnez « Ce compte », puis cliquez sur Parcourir
- Entrez le nom du MSA dans la zone de texte, puis cliquez sur OK pour enregistrer les modifications
- Dans l'onglet Connexion, vérifiez que le nom MSA se termine par le signe dollar ($).
- Lorsqu'il indique que le nouveau nom de connexion ne prendra effet que lorsque vous arrêterez et redémarrerez le service, cliquez sur OK.
Le compte recevra le « Connexion en tant que service » et le mot de passe sera récupéré automatiquement. Si vous déplacez un service vers un autre ordinateur et que vous souhaitez utiliser le même MSA sur le système cible, vous devez d'abord utiliser leDésinstallation-ADServiceAccountapplet de commande pour supprimer le MSA de l'ordinateur actuel, puis utiliser l'applet de commandeInstaller- ADServiceAccountapplet de commande sur le nouvel ordinateur.
Figure 1.0 Capture d'écran montrant la boîte de paramètres des propriétés d'identité de l'application
Outils de gestion des comptes de service AD
Voici notre liste des cinq meilleurs outils de gestion de comptes de service Active Directory :
- Analyseur d'autorisations SolarWinds CHOIX DE L'ÉDITEURCe package gratuit est un petit utilitaire qui permet d'identifier très facilement les relations entre les groupes et les comptes d'utilisateurs. Il affiche clairement les autorisations allouées à chaque objet. Fonctionne sur Windows Server.
- Gestion MSA ManageEngineCet outil de reporting se concentre sur les comptes de services gérés détenus dans le cadre de votre implémentation AD. Fonctionne sous Windows et Windows Server.
- Gestionnaire des droits d'accès SolarWinds(ESSAI GRATUIT)Ce contrôleur pour les comptes AD a une implémentation qui prend en charge la prévention des pertes de données grâce au suivi de l'activité des utilisateurs. Fonctionne sur Windows Server.
- ManageEngine ADAudit PlusUn package qui comprend un moniteur d’intégrité des fichiers, une protection contre la falsification pour AD et une détection des menaces internes. Disponible sur Windows Server, AWS et Azure.
- Gestionnaire de récupération de quête pour Active DirectoryUn système de protection pour Active Directory qui sauvegarde une instance et restaure les objets en cas de perte ou de modifications non autorisées. Fonctionne sur Windows Server.
Vous pouvez en savoir plus sur chacun de ces outils dans les sections suivantes.
Notre méthodologie de sélection d'un outil de gestion des comptes de services AD
Nous avons examiné le marché des systèmes de gestion de comptes de services AD et analysé les options en fonction des critères suivants :
- Une meilleure présentation de l'interface que la console AD native
- Un outil qui crée des comptes de services gérés sur des ordinateurs sans utiliser PowerShell
- Un moyen de distribuer les mots de passe générés
- Identification des comptes de services gérés
- Journalisation des modifications pour l'audit de conformité
- Un outil gratuit ou un système proposant un essai gratuit pour une évaluation gratuite
- Rapport qualité-prix, assuré par un package complet de gestion AD proposé à un prix raisonnable
À l’aide de ces critères de sélection, nous avons identifié un certain nombre d’outils de gestion AD capables d’assurer une gestion efficace des comptes.
1. OUTIL GRATUIT de l’analyseur d’autorisations SolarWinds : L'un des défis courants du programme Microsoft Active Directory est qu'il offre une mauvaise gestion des autorisations. C’est là que SolarWinds Permissions Analyzer se démarque. SolarWinds Permissions Analyzer permet aux administrateurs réseau d'obtenir une meilleure visibilité sur les autorisations des utilisateurs et des groupes, de vérifier les autorisations attribuées aux objets Active Directory, de parcourir les autorisations d'un groupe ou d'un utilisateur, ou d'analyser les autorisations des utilisateurs en fonction de l'appartenance à un groupe et des autorisations, même dans une forêt Active Directory multidomaine. .
Figure 3.0 Capture d'écran montrant l'interface de SolarWinds Permissions Analyzer
Principales caractéristiques:
- Répertorie les groupes et les comptes
- Affiche les autorisations de l'appareil
- Clarifie les incohérences
- Révèle une falsification
- Permet l'analyse
Imaginez un scénario dans lequel un compte de service doté de droits et d'autorisations allant au-delà de ce dont il a besoin est détourné par un acteur malveillant et commence soudainement à mener des activités malveillantes de l'intérieur. Vous constatez que ce compte de service a accès à toutes sortes de groupes clés de l'entreprise, de dossiers réseau partagés et de fichiers ; mais personne ne sait exactement quoi et combien. Cela pourrait constituer un problème de sécurité majeur pour votre organisation, vous devez donc aller rapidement au cœur de ce qui se passe. Une façon d’étudier ce problème consiste à utiliser PowerShell si vous avez les compétences et l’expérience nécessaires, mais la réalité est que tout le monde ne le fait pas. C’est là que SolarWinds Permissions Analyzer entre en jeu. Grâce à cet outil, les administrateurs réseau peuvent facilement identifier les comptes de service disposant de privilèges d'accès excessifs aux ressources clés de l'entreprise.
Avantages:
- Fournit un moyen simple mais puissant d'obtenir un aperçu de vos contrôles d'accès et de la sécurité de votre compte.
- Offre un excellent moyen visuel de voir les autorisations héritées et les groupes d'autorisations
- Prend en charge la surveillance continue des autorisations
- Idéal pour les audits, la détection des menaces internes et la prévention des attaques ATO
- Est totalement gratuit
Les inconvénients:
- Idéal pour les environnements plus grands et plus complexes
Surtout, SolarWinds Permissions Analyzer est disponible en téléchargement gratuit.
LE CHOIX DES ÉDITEURS
Analyseur d'autorisations SolarWindsest notre premier choix pour un outil de gestion de compte de service géré, car il facilite l'interrogation des statuts actuels des autorisations au sein d'une organisation et facilite l'identification des incohérences. L'utilisation de l'outil est gratuite, ce qui signifie qu'il ne coûte rien d'ajouter cet utilitaire à votre ensemble d'outils de gestion AD.
Télécharger:Téléchargement Gratuit
Site officiel:https://www.solarwinds.com/free-tools/permissions-analyzer-for-active-directory
TOI:Serveur Windows
2. Gestion MSA ManageEngine : La création et la gestion d'un MSA peuvent être une tâche ardue pour la plupart des administrateurs système, notamment parce qu'elles nécessitent une bonne connaissance pratique du langage de script PowerShell. Même si vous maîtrisez les scripts PowerShell, ce n’est pas aussi simple que d’utiliser un outil basé sur une interface graphique. C'est là que l'outil de gestion MSA de ManageEngine vient à la rescousse.
Figure 2.0 Capture d'écran montrant les comptes de service sur l'outil de gestion des comptes de service
Gestion MSA ManageEngine est un outil gratuit basé sur une interface graphique conçu pour simplifier le processus de gestion des comptes de service. En quelques clics, les administrateurs réseau peuvent facilement créer, modifier et supprimer des MSA sans connaître PowerShell.
Principales caractéristiques:
- Créer, modifier et supprimer des MSA
- Pas besoin de PowerShell
- Gestion de compte groupée
- Rapports sur l'état du compte
L'outil permet également aux administrateurs réseau d'obtenir des informations sur les comptes de service présents sur chaque ordinateur d'un domaine Active Directory. Certains des rapports pouvant être générés incluent :
- Une liste de tous les ordinateurs du domaine
- Un rapport de tous les comptes de service présents sur chaque ordinateur
- Un rapport de tous les services associés aux comptes de service
Ces rapports peuvent être affinés à l'aide des filtres disponibles et peuvent être exportés sous forme de fichier CSV. L'outil de gestion ManageEngine MSA peut être téléchargé dans le cadre de l'outil de gestion ManageEngine. Outils Active Directory gratuits .
Avantages:
- Offre une alternative graphique simple aux scripts PowerShell MSA
- Prend en charge les actions groupées telles que les modifications d'autorisation de compte et la désactivation
- Peut exécuter des rapports et enregistrer des données au format CSV
- Est totalement gratuit
Les inconvénients:
- Pourrait bénéficier de certains graphiques et visualisations de données
3. Gestionnaire de droits d'accès SolarWinds (ESSAI GRATUIT) : SolarWinds Access Rights Manager (ARM) est conçu pour aider les administrateurs informatiques et de sécurité à gérer et réglementer les droits d'accès et les autorisations des utilisateurs et des comptes de service aux systèmes et aux données dans tous les domaines, ce qui constitue une étape importante dans la protection des organisations contre les cyber-risques. Ses capacités d'audit et de gestion des autorisations facilitent l'analyse des autorisations des utilisateurs, des autorisations d'accès et de la stratégie de groupe pour vous donner une meilleure visualisation de qui a accès à quoi, comment et quand ils y ont accédé.
Figure 4.0 Capture d'écran montrant le tableau de bord SolarWinds ARM
Principales caractéristiques:
- Autorisations de documents
- Consigner les modifications des autorisations
- Création et gestion de compte
Les fonctionnalités de génération de rapports personnalisés permettent la création rapide d'une variété de rapports AD, depuis des rapports plus simples destinés à la direction jusqu'à des rapports plus techniques et détaillés adaptés aux auditeurs.
SolarWinds ARM permet aux administrateurs réseau d'effectuer les activités de gestion des droits d'accès suivantes :
- Analyse des autorisations : cette fonctionnalité aide les administrateurs à définir quels utilisateurs ou comptes de service ont accès à quelles données. Certaines des activités clés qui peuvent être effectuées incluent : afficher les paramètres d'autorisation, suivre les chemins d'accès, comprendre les autorisations des groupes imbriqués, entre autres.
- Provisionnement des utilisateurs : le provisionnement des utilisateurs aide les administrateurs à créer et à gérer des comptes et des groupes d'utilisateurs ou de services.
- Surveillance de la sécurité : la surveillance de la sécurité permet aux administrateurs réseau d'exploiter les journaux d'Active Directory, des serveurs de fichiers et d'autres systèmes et outils pour générer des rapports, des alertes et suivre les activités clés.
- Optimisation des rôles et des processus : cette fonctionnalité permet aux administrateurs réseau d'automatiser le processus de détermination des propriétaires de données dans les unités commerciales et les départements. Les propriétaires de données jouent un rôle clé dans la détermination et la définition des droits d'accès et des autorisations des utilisateurs, y compris les comptes de service.
Avantages:
- Fournit un aperçu clair des autorisations et des structures de fichiers grâce à un mappage et des visualisations automatiques
- Les rapports préconfigurés facilitent la démonstration de la conformité
- Tous les problèmes de conformité sont signalés après l'analyse et associés à des actions correctives.
- Les administrateurs système peuvent personnaliser les droits d'accès et le contrôle dans Windows et d'autres applications
Les inconvénients:
- SolarWinds Access Rights Manager est une plate-forme approfondie conçue pour les administrateurs système dont l'apprentissage complet peut prendre du temps.
SolarWinds Access Rights Manager Téléchargez un essai GRATUIT de 30 jours
4. ManageEngine ADAudit Plus : ADAudit Plus par ManageEngine est un outil d'audit AD qui permet aux administrateurs réseau d'auditer les répertoires actifs, les enregistrements de connexion et de déconnexion, les données des fichiers et du serveur Windows, et de générer des rapports d'activité des utilisateurs en temps réel.
Figure 5.0 Capture d'écran montrant le tableau de bord ADAudit Plus
Principales caractéristiques:
- Audit AD sur site et pour Azure
- Audit des autorisations des appareils
- Rapports de conformité
Avec cet outil, vous pouvez savoir quels employés ou comptes de service ont fait quoi, quand ils l'ont fait et comment ils l'ont fait sur les serveurs Windows et les applications installées. Vous pouvez obtenir des rapports sur les contrôleurs de domaine et les serveurs de fichiers et exporter les rapports aux formats CSV, PDF, XLSX et HTML. Les administrateurs réseau pourront bloquer ou empêcher les utilisateurs légitimes d'abuser de leurs privilèges d'accès. L'un des principaux avantages de cette solution est sa prise en charge inhérente de la conformité réglementaire spécifique à un secteur. Il est fourni avec des rapports de conformité aux normes préconfigurés, qui suivent les normes SOX, HIPAA, GLBA, PCI-DSS et FISMA. Ainsi, vous n’aurez pas besoin de personnaliser le système ou de créer vos propres rapports pour démontrer votre conformité.
Avantages:
- Fortement axé sur les exigences de conformité, ce qui en fait une bonne option pour maintenir la conformité de l'industrie
- Les rapports de conformité préconfigurés vous permettent de voir où vous en êtes en quelques clics
- Fonctionnalités de détection des menaces internes : peut détecter les membres du personnel espionnant ou les acteurs malveillants flagrants qui ont infiltré le réseau local
- Prend en charge l'automatisation et les scripts
- Excellente interface utilisateur
Les inconvénients:
- Mieux adapté aux environnements plus grands
ADAudit Plus est disponible en trois éditions : gratuite, standard et professionnelle. UN 30 jours d'essai gratuit Et un démo en ligne qui comprend toutes les fonctionnalités de Professional Edition sont toutes disponibles. Dans l’ensemble, l’excellent tableau de bord et analyses d’ADAudit Plus en font un outil puissant pour obtenir des informations et une visibilité sur votre environnement AD.
5. Quest Recovery Manager pour Active Directory : Des erreurs humaines, des pannes matérielles et logicielles se produisent. Les objets AD, y compris les comptes de service, peuvent souvent être modifiés par erreur, voire supprimés ; et des scripts défectueux peuvent écraser les attributs. Cela peut entraîner une corruption des données Active Directory ou de la stratégie de groupe, ainsi qu'un temps d'arrêt imprévu du système.
Figure 6.0 Capture d'écran montrant l'interface de Quest Recovery Manager pour Active Directory
Principales caractéristiques:
- Planifier des sauvegardes
- Restaurer pendant qu'AD est en cours d'utilisation
- Gamme de niveaux de restauration
Récupération pour Active Directory est un outil AD tiers qui permet aux administrateurs réseau d'identifier les modifications apportées à leur environnement AD au niveau des objets et des attributs, et de récupérer rapidement des sections entières de l'annuaire (AD sur site et Azure AD), des objets sélectionnés ou des attributs individuels. sans mettre le contrôleur AD hors ligne. La plupart du temps, lorsqu'un objet tel qu'un utilisateur ou un compte de service est perdu dans Active Directory, vous devez redémarrer le contrôleur de domaine pour le récupérer. Recovery Manager for Active Directory élimine cet inconvénient en vous permettant de récupérer des objets sans vous déconnecter.
Vous pouvez restaurer des objets tels que des utilisateurs, des comptes de service, des ordinateurs, des attributs, des configurations, des sites, des sous-réseaux, des objets de stratégie de groupe et des unités d'organisation.
Avantages:
- Outil léger qui peut fonctionner sur des ressources limitées ainsi que sur des environnements AD plus anciens
- Prend en charge les journaux de modifications pour des audits approfondis
- Offre une question de récupération qui simplifie la restauration des objets AD
- Prend en charge les analyses planifiées et les sauvegardes de configuration
Les inconvénients:
- L'interface utilisateur pourrait être améliorée
Le principal problème de Recovery Manager pour Active Directory est son prix relativement élevé. Il convient donc particulièrement aux organisations exécutant plusieurs contrôleurs de domaine AD sur plusieurs sites. UN essai gratuit de 30 jours est disponible.
FAQ sur les comptes de service Active Directory
Qu’est-ce qu’un compte de service dans Active Directory ?
Un compte de service est un compte d'utilisateur spécial créé dans le seul but d'exécuter un service ou une application particulière sur le système d'exploitation Windows. Les services utilisent les comptes de service pour se connecter et interagir avec le système d'exploitation.
Comment puis-je créer un compte de service dans Active Directory ?
Un compte de service peut être soit un compte de service traditionnel, soit des comptes de service gérés (MSA). Les comptes de service traditionnels peuvent être créés en suivant les étapes ci-dessous :
- Accédez à Outils >> Utilisateurs et ordinateurs Active Directory >> Créer un nouvel utilisateur.
- Entrez un mot de passe pour le compte et cochez la case « Le mot de passe n'expire jamais » (cela est nécessaire car, avec les comptes de service, il n'y a pas de connexion interactive).
Les comptes de service gérés peuvent être créés via PowerShell comme décrit dans la section Comment créer un compte de service dans PowerShell
Comment puis-je accorder des autorisations pour s'exécuter en tant que service dans Active Directory ?
Pour configurer un compte utilisateur pour disposer des autorisations de « connexion en tant que service », suivez les étapes ci-dessous :
- Connectez-vous à votre serveur Windows en tant qu'administrateur
- Cliquez sur Démarrer >> Panneau de configuration >> Outils d'administration >> Politique de sécurité locale
- Sélectionnez Politiques locales >> Attribution des droits d'utilisateur >> Connectez-vous en tant que service
- Cliquez avec le bouton droit sur « Se connecter en tant que service » et sélectionnez Propriétés.
- Cliquez sur Ajouter un utilisateur ou un groupe, puis ajoutez le compte à la liste des comptes possédant l'autorisation de connexion en tant que service souhaitée.