Der Vorteil ist, dass die Systemdienste, welche diese Benutzerkonten verwenden, bei Kennwortänderungen nicht von Administratoren konfiguriert werden müssen, sondern die Änderung der Kennwörter automatisch übernehmen.

Sie legen die Dienstkonten über die PowerShell, genauer gesagt über das Active Directory-Modul der PowerShell mit dem Cmdlet New-ADServiceAccount „Name Account“ an.

Bevor Sie gruppierte Konten anlegen, müssen Sie zunächst einen neuen Masterschlüssel für die Domäne erstellen:

Add-KdsRootKey -EffectiveImmediately

Standardmäßig dauert es ab diesem Moment 10 Stunden, bis Sie verwaltete Dienstkonten anlegen können. In Testumgebungen können Sie den Zeitraum mit dem folgenden Befehl umgehen:

Add-KdsRootKey -EffectiveTime ((Get-Date).addhours(-10))

Der Ablauf beim manuellen Anlegen in der PowerShell bei der Verwendung von Managed Service Accounts ist folgender:

1. Sie legen das verwaltete Dienstkonto in Active Directory an.
2. Sie verbinden das Konto mit einem Computerkonto, auf dem der Dienst genutzt werden soll.
3. Sie installieren das verwaltete Dienstkonto auf dem jeweiligen Computer.
4. Sie passen die Systemdienste auf dem lokalen Computer an, um das neue Konto zu nutzen.