Künstliche Intelligenz

Windows Server 2025: Die neue Relevanz von dMSA und Geräteidentitäten


Windows Server 2025 bringt delegierte verwaltete Dienstkonten (delegated Managed Service Accounts, dMSA) als neuen Kontotyp mit – mit ihm ändert sich, wie sich Dienste in Active Directory authentifizieren.

Im Unterschied zu den bisherigen gruppenverwalteten Dienstkonten (gMSA) setzt dMSA auf die Authentifizierung durch Geräteidentitäten und liefert automatisch rotierende, kryptografisch erzeugte Schlüssel. Damit muss man Passwörter nicht mehr manuell pflegen, viele Risiken klassischer Dienstkonten werden eliminiert. Organisationen können damit Dienste migrieren, ohne umfangreiche Anwendungsänderungen vorzunehmen, und erhalten zugleich eine bessere Protokollierbarkeit der Dienstkontoaktivität.

  • Delegierte verwaltete Dienstkonten (dMSA) binden die Authentifizierung direkt an Geräteidentitäten und liefern kryptografisch erzeugte Schlüssel, die nicht lokal installierbar sind.
  • Nötig sind Windows Server 2025 als Domänencontroller, ein KDS-Stammschlüssel und spezifische Registry-Konfigurationen auf Clientsystemen ab Windows 11 24H2.
  • Die Migration bestehender Dienstkonten erfolgt über PowerShell-Cmdlets, wobei sowohl Einzelhost- als auch Massenmigrationsszenarien unterstützt werden.
  • Schwachstellen wie Golden dMSA und BadSuccessor erfordern strikte Governance durch enge Rechtedelegation, kontinuierliches Monitoring von Kerberos-Events und vordefinierte Wiederherstellungsprozesse.




Thomas Joos ist freiberuflicher Autor, Trainer und IT-Consultant. Er berät Unternehmen in den Bereichen Microsoft-Netzwerke, Security, KI und Cloud.

Die Verfügbarkeit von dMSA bleibt aber an Voraussetzungen gebunden: Domänencontroller müssen auf Windows Server 2025 laufen und Clients brauchen Windows 11 24H2. Für eine domänenübergreifende Nutzung verlangt die Topologie zudem bidirektionale Vertrauensstellungen in der Gesamtstruktur. Ohne solche Grundlagen bleibt dMSA in seiner Wirksamkeit eingeschränkt.


Das war die Leseprobe unseres heise-Plus-Artikels „Windows Server 2025: Die neue Relevanz von dMSA und Geräteidentitäten“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen