Group Managed Service Accounts (gMSA), Microsoft tarafından sunulan ve etki alanı (domain) ortamlarında kullanılan özel bir hesap türüdür. Temel amacı, otomatik parola yönetimi ve güvenli kimlik doğrulama sağlayarak servis hesaplarının yönetimini kolaylaştırmaktır.
Temel Özellikleri
- Otomatik Parola Yönetimi
- Geleneksel servis hesaplarının aksine, gMSA hesaplarının parolaları Active Directory (AD) tarafından otomatik olarak yönetilir.
- Parolalar düzenli aralıklarla (varsayılan: 30 gün) otomatik olarak değiştirilir.
- Güvenliği Artırır
- Parolaların manuel olarak girilmesi gerekmez, bu da kimlik bilgisi sızıntısı riskini azaltır.
- Kerberos tabanlı kimlik doğrulama kullanır.
- Çoklu Sunucu Desteği
- Aynı gMSA hesabı, birden fazla sunucuda (örneğin, bir yük dengeleyici arkasındaki web sunucuları) kullanılabilir.
- Active Directory Entegrasyonu
- gMSA hesapları Active Directory’de oluşturulur ve yönetilir.
- Windows Server 2012 ve Sonrasında Desteklenir
- Windows Server 2012, 2012 R2, 2016, 2019 ve 2022 ile uyumludur.
Ne Zaman Kullanılır
- SQL Server, IIS, SharePoint gibi servislerin kimlik bilgilerini yönetmek için
- Yüksek kullanılabilirlik (HA) senaryolarında (örneğin, SQL Server Always On)
- Otomatik parola değişimi gerektiren ortamlar
- Güvenliği artırmak için manuel servis hesapları yerine
gMSA vs Standart Servis hesabı karşılaştırılması
| Özellik | gMSA | Standart Servis Hesapları |
|---|---|---|
| Parola Yönetimi | Otomatik (AD tarafından) | Manuel |
| Çoklu Sunucu Kullanımı | Destekler | Genellikle tek sunucu |
| Kerberos Kimlik Doğrulama | Evet | Evet |
| Active Directory Entegrasyonu | Tam entegre | Kısmen |
| Minimum Windows Sürümü | Windows Server 2012 | Windows Server 2008 |
Kurulum ve Yapılandırma
1. Ön Koşullar
Bu işlemi yapabilmek için Domain Controller üzerinde Domain Admin yetkisine sahip olmanız ve sistemde en az bir tane Windows Server 2012 veya üzeri DC bulunması gerekir.
- Active Directory ortamı (Domain Controller)
- KDS Root Key oluşturulmalı (gMSA için gerekli)
- PowerShell modülü (ActiveDirectory)
Avantajları
- Parola süre sonu sorunlarını ortadan kaldırır
- Güvenliği artırır (parolalar manuel olarak girilmez)
- Yüksek kullanılabilirlik senaryolarında kullanışlıdır
- Active Directory ile entegre çalışır
gMSA (Group Managed Service Account), özellikle çoklu sunucu ortamlarında ve güvenli servis hesabı yönetimi gerektiren durumlarda kullanışlıdır. SQL Server, IIS, SharePoint gibi servislerde manuel parola yönetimini ortadan kaldırarak güvenliği ve yönetilebilirliği artırır.
İlerleyen makalelerde gerçek bir gMSA oluşturma makalesi görmüş oluruz.
Başka makalede görüşmek dileğiyle..
Alçak gönüllü şekilde yürüyün. Furkan-63
