Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici

La gestion des comptes de service

Introduction

Dans l’écosystème d’une infrastructure Active Directory, il peut exister un certain nombre d’applications ayant des fonctions bien spécifiques. Parmi ces fonctionnalités, certaines vont être liées à des services dont les attributions résident notamment dans l’interaction avec d’autres sources de données, comme c’est le cas d’applications interrogeant une multitude d’informations provenant de l’Active Directory. Les modalités d’interaction de tels services sont évidemment différentes d’un service à un autre, mais un des éléments qu’ils ont en commun est la nécessité d’agir avec ce que l’on nomme des « comptes de service ».

Un compte de service, dans sa définition la plus stricte, est ce qui fournit un contexte de sécurité à un service. Donc, les comptes de service sont des éléments essentiels au fonctionnement des services Windows d’une manière générale. Historiquement, la notion de compte de service est une idée qui a connu une évolution propre au cours de l’histoire des technologies Microsoft. Au départ, les comptes de service étaient des comptes existant au niveau de machines locales avec des modalités de partage par diverses applications...

La notion de compte de service en lien avec Active Directory

Évoquer la notion de compte de service ne va pas sans définir ce qu’est la notion de service elle-même. En effet, un service est une couche logicielle existant au niveau du système d’exploitation et au niveau applicatif, et qui a la particularité d’être exécutée en tâche de fond. Ainsi, un service permet à des programmes de fonctionner en accomplissant des tâches propres reliées à d’autres tâches dites principales.

Un service - et c’est une règle de base pour l’ensemble des services Windows - a besoin, pour fonctionner correctement, qu’un compte de service lui soit affecté, qu’il y ait un caractère d’exclusivité ou non. Cette association est indispensable pour qu’un service accomplisse sa ou ses tâches de manière adéquate, puisqu’un compte de service est ce qui va fournir à un service donné ce qui est communément appelé un « contexte de sécurité ».

Active Directory a incontestablement étendu la notion de compte de service et lui a donné une portée plus large que celle que les comptes de services ont historiquement toujours eue. Du point de vue de la gestion d’applications tierces évoluant dans un environnement structurellement...

Lister les comptes de service existant au sein d’un domaine

Connaître les comptes de service existant au sein d’un domaine Active Directory permet de mieux cartographier les applications fonctionnant à l’intérieur même de ce domaine. Nous nous intéressons aux modes d’interactions qui peuvent éventuellement exister entre différentes applications, mais aussi aux liens de communication avec la technologie Active Directory. Également, le processus de découverte des comptes de service existant dans une infrastructure Active Directory requiert Windows PowerShell ; c’est un choix de la part de Microsoft pour des raisons qu’il n’est pas utile d’évoquer ici, mais il faut savoir que manipuler des comptes de service dits « automatiquement gérés et de domaine » exige Windows PowerShell pour travailler dans les meilleures conditions.

1. La cmdlet Get-ADServiceAccount

Dans l’absolu, l’opération consistant à obtenir un ou plusieurs comptes de service avec PowerShell se base sur la commande Get-ADServiceAccount. Cette cmdlet interroge un annuaire Active Directory dans le but de rechercher des objets de type Microsoft.ActiveDirectory.Management.ADServiceAccount. Il s’agit là d’un type d’objet très spécifique à Active Directory et à Windows PowerShell. En matière de critères de recherche, la commande Get-ADServiceAccount utilise des mécanismes classiques, exactement comme pour les autres commandes : ce sont soit des expressions Windows PowerShell ou des expressions LDAP qui permettent d’effectuer des recherches de comptes de service, sans oublier la spécification d’une chaîne de caractères indiquant le nom d’un compte de service.

Le paramètre -Filter

Spécifie une requête basée sur des expressions Windows PowerShell et listant le ou les comptes de service recherchés.

Le paramètre -Identity

Spécifie un objet Active Directory représentant un compte de service.

Le paramètre -LDAPFilter

Spécifie une requête LDAP servant à filtrer le ou les comptes de service collectés.

Le paramètre -Partition

Spécifie une partition Active Directory où la recherche sera effectuée....

Créer un compte de service géré automatiquement

Au cours du processus d’administration des éléments d’une infrastructure Active Directory, il arrivera certainement que des opérations de création de comptes de service doivent être réalisées. Dans ce cas, les administrateurs auront à organiser cette opération en quatre étapes :

  • La création du compte de service à proprement parler ;

  • L’association de ce compte de service à la machine visée ;

  • Au niveau de la machine visée, l’installation du compte de service ;

  • La configuration du service concerné dans le but d’utiliser le compte de service créé.

Articuler l’ensemble de ces quatre étapes exigera l’utilisation de quatre commandes que nous décrirons de manière synthétique dans la section suivante.

1. Les cmdlets New-ADServiceAccount, Add-ADComputerServiceAccount, Install-ADServiceAccount et Get-WmiObject

Les quatre phases nous permettant de créer un compte de service dans l’écosystème Active Directory nécessitent chacune de recourir à une cmdlet. Donc, comme il y a exactement quatre étapes dans le processus de création d’un compte de service, le nombre de commandes est égal à quatre. Bien évidemment, avant de les utiliser, il convient de les connaître pour mieux les manipuler.

a. La cmdlet New-ADServiceAccount

La commande New-ADServiceAccount est la commande dont nous avons besoin dans le cadre de la création de comptes de service. En effet, cette commande crée un compte de service dit « automatiquement géré et de domaine » et le place par défaut dans le conteneur Managed Service Accounts de l’arborescence de domaine Active Directory.

Le paramètre -Name

Ce paramètre spécifie un nom de compte de service permettant de l’identifier.

Le paramètre -Enabled

Ce paramètre spécifie si un compte de service est activé ou non. Les valeurs possibles sont $True (activé) ou $False (désactivé).

Le paramètre -Description

Ce paramètre spécifie une description du compte de service créé....