Перейти к содержанию

Запуск qemu-guest-agent от групповой учетной записи служб в AD

Данная инструкция предназначена для сред, где групповые политики в домене Active Directory забирают права локального администратора у локальных учётных записей.

Для безопасного запуска требующих права администратора служб, приложений и заданий планировщика на серверах и рабочих станциях домена Active Directory можно использовать управляемые учётные записи служб (MSA). Это специальные учётные записи, для которых AD:

  • Генерирует сложный пароль (240 символов).
  • Автоматически меняет пароль каждые 30 дней.
  • Запрещает интерактивный вход (пароль неизвестен никому и не хранится локально).

Создание KDS root key

На контроллере домена AD необходимо открыть PowerShell и выполнить:

Add-KdsRootKey EffectiveImmediately
После создания нужно проверить, что ключ успешно создан:

Get-KdsRootKey

Test-KdsRootKey -KeyId (Get-KdsRootKey).KeyId
После выполнения последней команды должно вернуться значение True.

Примечание

Использовать ключ можно будет через 10 часов.

Создание gMSA

Вместо создания MSA, которые могут быть назначены только одному серверу или рабочей станции, предпочтительнее создать групповую MSA — gMSA. Такая учетная запись может быть использована на всех ВМ, которые принадлежат одной группе безопасности.

Внимание

Все имена учетных записей, название OU и домена являются примерами. Необходимо производить настройку в соответствии с инфраструктурой.

Для создания gMSA необходимо в PowerShell:

  1. Создать группу безопасности:

    New-ADGroup qemu-agent -path 'OU=Domain Controllers,DC=test,DC=local' -GroupScope Global -PassThru Verbose

  2. Добавить ВМ в группу:

    Add-AdGroupMember -Identity qemu-agent -Members FOR-QEMU$

  3. Создать gMSA-учётную запись:

    New-ADServiceAccount -name qemuGMSA -DNSHostName qemuGMSA.test.local -PrincipalsAllowedToRetrieveManagedPassword qemu-agent verbose

  4. Перезагрузить ВМ, добавленные в группу безопасности, или заново запросить список групп, в которых состоят ВМ, без перезагрузки:

    klist.exe -lh 0 -li 0x3e7 purge

После выполнения всех шагов gMSA будет создана в OU Managed Service Accounts.

Проверка gMSA на ВМ

Необходимо убедиться, что ВМ получила информацию о существовании gMSA. На ВМ в PowerShell нужно выполнить следующее:

  1. Установить модуль AD и .NET Framework 3.5+:

    Add-WindowsFeature RSAT-AD-PowerShell

  2. Проверить наличие gMSA:

    Get-ADServiceAccount qemuGMSA -Properties PrincipalsAllowedToRetrieveManagedPassword

    Test-ADServiceAccount qemuGMSA
    Последняя команда должна вернуть значение True, означающее, что создание gMSA было выполнено правильно.

Настройка прав локального администратора через GPO

Затем необходимо при помощи групповых политик в домене настроить права локального администратора для созданной gMSA. Для этого на контроллере домена необходимо выполнить действия:

  1. Открыть PowerShell и создать группу безопасности:

    New-ADGroup "qemuGMSAgroup" -path 'OU=Domain Controllers,DC=test,DC=local' -GroupScope Global -PassThru Verbose

    Add-AdGroupMember -Identity qemuGMSAgroup -Members qemuGMSA$

  2. Создать групповую политику для нужных ВМ.

    Для этого необходимо открыть редактор групповых политик и перейти в раздел Конфигурация компьютера - Настройка - Параметры панели управления. Далее нажать на Локальные пользователи и группы - Создать - Локальная группа.

    В открывшемся окне необходимо выбрать:

    • Действие: Обновить.

    • Имя группы: Администраторы (встроенная учётная запись).

    • Члены группы: добавить qemuGMSAgroup.

    Далее сохранить политику, нажав кнопку «ОК».

  3. Применить групповую политику:

    Для этого необходимо выполнить любое действие из следующих:

    • Подождать автоматического применения групповых политик.

    • Перезагрузить ВМ.

    • Выполнить в командной строке: 

      gpupdate /force

Настройка службы QEMU GUEST AGENT

После того как групповая сервисная учетная запись была добавлена в группу локальных администраторов, необходимо настроить запуск службы QEMU GUEST AGENT от имени этой учетной записи.

На ВМ необходимо выполнить следующее:

  1. Открыть консоль «Службы» на нужной ВМ.

  2. Открыть свойства службы QEMU GUEST AGENT.

  3. Во вкладке Вход в систему:

    • Выбрать С учётной записью.
    • Указать qemuGMSA$.
    • Очистить поле с вводом пароля.

  4. Нажать кнопку «ОК», после чего появится окно, что данной учетной записи были предоставлены права Log on as a service.

  5. Перезапустить службу QEMU GUEST AGENT.

Примечание

Если гостевой агент в SpaceVM не отображается как активный, то необходимо:

  • Убедиться, что политика с правами локального администратора была применена к ВМ.
  • Проверить, что служба действительно работает от имени qemuGMSA$.