In bestimmten Fällen ist es notwendig, den einen oder anderen Group Managed Service Account (gMSA) auf einem Hostsystem zu deinstallieren, weil dieser überflüssig geworden ist. Wie ein gMSA- Konto erstellt wird, habe ich bereits beschrieben.

Um saubere Systeme zu hinterlassen, räume ich jetzt quasi von unten nach oben auf! Bedeutet, ich beginne bei den Hostsystemen und entferne dort das gMSA- Konto aus allen notwendigen Server-Einstellungen! Anschließend entferne ich das gMSA- Konto aus dem Active Directory.

Vorbereitungen

  • Sicherstellen, dass das gMSA- Konto nirgends mehr lokal auf einem Hostsystem hinterlegt ist (z.B. Aufgaben, Dienste)

Deinstallation lokal auf dem Hostsystem

# Status des gMSA- Kontos lokal auf dem Hostsystem prüfen (Ergebnis muss True sein!)
Test-ADServiceAccount <SRVNAME$>
# Deinstallation des gMSA- Kontos
Uninstall-ADServiceAccount <SRVNAME$>
# Status des gMSA- Kontos lokal auf dem Hostsystem prüfen (Ergebnis muss False sein!)
Test-ADServiceAccount <SRVNAME$>

Entfernen aus dem Active Directory

Zuvor prüfen, ob das gMSA- Konto noch aktive Mitgliedschaften in vorhandenen AD- Gruppen aufweist.

# Gruppenmitgliedschaften des gMSA- Kontos auslesen
$SRVNAME = '<SRVNAME$>'
$Groups = (Get-ADServiceAccount -Identity $SRVNAME -Properties MemberOf).MemberOf 
$Groups | Get-ADGroup | Select-Object Name

Mit einer zusätzlichen Befehlszeile lassen sich nun auch alle Gruppenmitgliedschaften aus den gefundenen Gruppen entfernen.

# Alle Gruppenmitgliedschaften des gMSA- Kontos aus den entsprechenden Gruppen entfernen
$SRVNAME = '<SRVNAME$>'
$Groups = (Get-ADServiceAccount -Identity $SRVNAME -Properties MemberOf).MemberOf 
$Groups | Get-ADGroup | Select-Object Name

Remove-ADPrincipalGroupMembership $SRVNAME -MemberOf $Groups

Sind alle Gruppenmitgliedschaften entfernt, kann das gMSA- Konto schlussendlich aus dem Active Directory entfernt werden!

# Löscht das gMSA- Konto aus dem Active Directory
Remove-ADServiceAccount <SRVNAME$>

Fazit

gMSA- Konten sollten im bestem Falle, immer sauber aus den Systemen entfernt werden! 😉


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Time limit is exhausted. Please reload CAPTCHA.