Trouver un compte de service (MSA) dans l'AD. Comptes cachés.

Tu recherches un compte dans l'AD et tu ne le trouves pas ? Il y a des chances que ça soit un compte de service MSA et voici comment le trouver !


Un peu de théorie sur les services et les MSA:

Un service possède une identité de sécurité primaire qui détermine les droits d'accès aux ressources locales et réseau. Le contexte de sécurité d'un service Microsoft Win32 est déterminé par le compte de service qui est utilisé pour démarrer le service. Généralement tu vas utiliser un compte de service pour :

  • Identifier et authentifier un service.

  • Démarrer avec succès un service.

  • Accéder ou exécuter du code ou une application.

  • Démarrer un processus.

En fonction de ton cas d'utilisation, tu peux utiliser un compte de service géré (MSA), un compte d'ordinateur ou un compte d'utilisateur pour exécuter un service. Tu dois bien entendu d'abord tester un service pour confirmer qu'il peut utiliser un compte de service géré. Si le service peut utiliser un MSA, alors la bonne pratique voudrait que tu en utilises un.


L'avantage principal du compte de service MSA est que le mot de passe est entièrement géré par l'AD, aucune action manuelle n'est requise et le mot de passe nous reste donc inconnu.


Source : https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/service-accounts-on-premises


Problématique :

Un compte de service AD avec un SamAccountName qui se termine par un "$" est caché. On ne le trouve pas en effectuant une recherche toute simple de type :


Solution

Afin de trouver ce compte tu peux utiliser PowerShell. Voici un exemple de la commande à exécuter.


PS C:\> Get-ADServiceAccount -Identity service1

Enabled           : True
Name              : service1
UserPrincipalName :
SamAccountName    : service1$
ObjectClass       : msDS-ManagedServiceAccount
SID               : S-1-5-21-159507390-2980359153-3438059098-29770
ObjectGUID        : eaa435ee-6ebc-44dd-b4b6-dc1bb5bcd23a
HostComputers     :
DistinguishedName : CN=service1,CN=Managed Service Accounts,DC=contoso,DC=com

Source : https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-adserviceaccount?view=windowsserver2019-ps


Comme il est accessible via PowerShell, tu peux donc l'administrer via PowerShell et, p.ex., le rajouter en tant que membre d'un groupe.


J'espère que cet article t'a été utile !

Enjoy ! 👨‍💻