Getting Started with Group Managed Service Accounts

  • Article

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Esta guía proporciona instrucciones paso a paso e información general para habilitar y usar cuentas de servicio administradas de grupo en Windows Server 2012.

En este documento

Nota

Este tema incluye cmdlets de Windows PowerShell de ejemplo que puede usar para automatizar algunos de los procedimientos descritos. Para obtener más información, consulte Uso de Cmdlets.

Requisitos previos

Consulta la sección de este tema que trata de los Requisitos de las cuentas de servicio administradas de grupo.

Introducción

Cuando un equipo cliente se conecta a un servicio hospedado en una granja de servidores con equilibrio de carga de red (NLB) o algún otro método en el que todos los servidores aparezcan como un mismo servicio de cara al cliente, no se pueden usar protocolos de autenticación que admitan la autenticación mutua, como Kerberos, salvo que todas las instancias de los servicios utilicen la misma entidad de seguridad. Esto implica que todos los servicios tienen que usar las mismas contraseñas o claves para demostrar su identidad.

Nota

Los clústeres de conmutación por error no admiten las cuentas de servicio administradas de grupo (gMSA). Sin embargo, los servicios que se ejecutan sobre el Servicio de clúster pueden utilizar una gMSA o una cuenta de servicio administrada independiente (sMSA) si son servicios de Windows, grupos de aplicaciones o tareas programadas, o si admiten gSMA o sMSA de forma nativa.

Los servicios tienen las siguientes entidades de seguridad entre las que pueden elegir, y cada una de ellas tiene determinadas limitaciones.

Principals Servicios admitidos Administración de contraseñas
Cuenta de equipo del sistema de Windows Limitado a un servidor unido a un dominio El equipo administra
Cuenta de equipo sin sistema de Windows Cualquier servidor unido a un dominio Ninguno
Cuenta virtual Limitado a un servidor El equipo administra
Cuenta de servicio administrada independiente de Windows 7 Limitado a un servidor unido a un dominio El equipo administra
Cuenta de usuario Cualquier servidor unido a un dominio Ninguno
Cuenta de servicio administrada de grupo Cualquier servidor unido a un dominio de Windows Server 2012 El controlador de dominio administra y el host recupera

No se pueden compartir entre varios sistemas una cuenta de equipo de Windows, una cuenta de servicio administrada independiente (sMSA) de Windows 7 ni las cuentas virtuales. En el caso de las cuentas virtuales, la identidad también es local para la máquina y el dominio no la reconoce. Si configuras una cuenta para que la compartan los servicios de las granjas de servidores, tendrás que elegir una cuenta de usuario o una cuenta de equipo aparte de un sistema de Windows. En cualquiera de estos dos casos, las cuentas no tienen la funcionalidad de administrar contraseñas con un solo punto de control. Esto genera un problema: cada organización se ve obligada a crear una solución costosa para actualizar las claves del servicio en Active Directory y, luego, distribuir las claves a todas las instancias de esos servicios.

Con Windows Server 2012, los servicios o quienes administran los servicios no necesitan administrar la sincronización de contraseña entre las instancias de servicio al usar cuentas de servicio administradas de grupo (gMSA). Se aprovisiona la gMSA en AD y, después, se configura el servicio que admite las cuentas de servicio administradas. El uso de gMSA se limita a cualquier máquina que pueda usar (protocolo ligero de acceso a directorios) para recuperar las credenciales de gMSA. Puedes aprovisionar una gMSA con los cmdlets *-ADServiceAccount que forman parte del módulo de Active Directory. Admiten la configuración de identidades de servicio en el host:

  • Las mismas API que sMSA, de modo que los productos que admiten sMSA admiten también gMSA.

  • Los servicios que utilizan el Administrador de control de servicios para configurar la identidad de inicio de sesión.

  • Los servicios que utilizan el Administrador de IIS para los grupos de aplicaciones con el fin de configurar la identidad.

  • Las tareas que utilizan el Programador de tareas.

Requisitos de las cuentas de servicio administradas de grupo

En la siguiente tabla, se indican los requisitos del sistema operativo que se deben cumplir para que la autenticación Kerberos funcione con los servicios que usan gMSA. Los requisitos de Active Directory se indican debajo de la tabla.

Para ejecutar los comandos de Windows PowerShell que se usan para administrar cuentas de servicio administradas de grupo, se necesita una arquitectura de 64 bits.

Requisitos del sistema operativo

Elemento Requisito Sistema operativo
Host de la aplicación cliente Cliente Kerberos que cumpla RFC Windows XP como mínimo
Controladores de dominio del dominio de la cuenta de usuario KDC que cumpla RFC Windows Server 2003 como mínimo
Hosts miembros de los servicios compartidos Windows Server 2012
Controladores de dominio del dominio del host miembro KDC que cumpla RFC Windows Server 2003 como mínimo
Controladores de dominio del dominio de la cuenta de gMSA Controladores de dominio de Windows Server 2012 disponibles para que el host recupere la contraseña Dominio con Windows Server 2012 que pueden tener algunos sistemas anteriores a Windows Server 2012
Host del servicio backend Servidor de aplicaciones Kerberos que cumpla RFC Windows Server 2003 como mínimo
Controladores de dominio del dominio de la cuenta de servicio de back-end KDC que cumpla RFC Windows Server 2003 como mínimo
Windows PowerShell para Active Directory Windows PowerShell para Active Directory instalado localmente en un equipo que admita una arquitectura de 64 bits o en el equipo de administración remoto (por ejemplo, con el kit de herramientas de administración remota del servidor) Windows Server 2012

Requisitos de los Servicios de dominio de Active Directory

  • Para crear una gMSA, el esquema de Active Directory del bosque del dominio en la gMSA se tiene que actualizar a Windows Server 2012.

    Puede actualizar el esquema instalando un controlador de dominio que ejecute Windows Server 2012 o ejecutando la versión de adprep.exe desde un equipo que ejecute Windows Server 2012. El valor del atributo object-version del objeto CN=Schema,CN=Configuration,DC=Contoso,DC=Com debe ser 52.

  • Nueva cuenta gMSA aprovisionada

  • Si administras el permiso del host de servicios para usar gMSA por grupo, un grupo de seguridad nuevo o existente

  • Si administras el control de acceso a los servicios por grupo, un grupo de seguridad nuevo o existente

  • Si no está implementada en el dominio o no se creó la primera clave raíz maestra de Active Directory, créala. Se puede comprobar el resultado de la creación en el registro operativo KdsSvc, identificador de evento 4004.

Para obtener instrucciones acerca de cómo crear la clave, consulte Crear la clave raíz de KDS (servicio de distribución de claves). Servicio de distribución de claves de Microsoft (kdssvc.dll): la clave raíz de AD.

Ciclo de vida

El ciclo de vida de una granja de servidores que utiliza la característica de gMSA suele incluir las siguientes tareas:

  • Implementación de una nueva granja de servidores

  • Adición de hosts miembros a una granja de servidores existente

  • Retirada de hosts miembros de una granja de servidores existente

  • Retirada de una granja de servidores existente

  • Eliminación de un host miembro que perdió su carácter confidencial de una granja de servidores si es necesario.

Implementación de una nueva granja de servidores

Al implementar una nueva granja de servidores, el administrador de servicios tendrá que averiguar:

  • Si el servicio admite el uso de gMSA.

  • Si el servicio requiere conexiones autenticadas de entrada o de salida.

  • Los nombres de las cuentas de equipo de los hosts miembros del servicio que usan la gMSA.

  • El nombre NetBIOS del servicio.

  • El nombre del host DNS del servicio.

  • Los nombres de las entidades de servicio (SPN) del servicio.

  • El intervalo de cambio de la contraseña (el valor predeterminado es 30 días).

Paso 1: Aprovisionamiento de cuentas de servicio administradas de grupo

Solo puede crear una gMSA si el esquema del bosque se actualizó a Windows Server 2012, si se implementó la clave raíz principal para Active Directory y si hay al menos un controlador de dominio de Windows Server 2012 en el dominio donde se creará la gMSA.

Para completar los siguientes procedimientos, el requisito mínimo es ser miembro de Administración del dominio o poder crear objetos msD-GroupManagedServiceAccount.

Nota

Siempre se requiere un valor para el parámetro -Name (ya sea que especifique -Name o no), con -DNSHostName, -RestrictToSingleComputer y -RestrictToOutboundAuthentication como requisitos secundarios para los tres escenarios de implementación.

Para crear una gMSA con el cmdlet New-ADServiceAccount

  1. En el controlador de dominio de Windows Server 2012, ejecute Windows PowerShell desde la Barra de tareas.

  2. Escribe los siguientes comandos en el símbolo del sistema de Windows PowerShell y, luego, presiona ENTRAR. (El módulo de Active Directory se cargará automáticamente).

    New-ADServiceAccount [-Name] <cadena> -DNSHostName <cadena> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <cadena>] [-ServicePrincipalNames <cadena[]>]

    Parámetro String Ejemplo
    Nombre Nombre de la cuenta ITFarm1
    DNSHostName Nombre del host DNS del servicio ITFarm1.contoso.com
    KerberosEncryptionType Todos los tipos de cifrado admitidos por los servidores host Ninguno, RC4, AES128, AES256
    ManagedPasswordIntervalInDays Intervalo de cambio de la contraseña en días (si no se especifica, el valor predeterminado es 30 días) 90
    PrincipalsAllowedToRetrieveManagedPassword Las cuentas de equipo de los hosts miembros o el grupo de seguridad al que pertenecen los hosts miembros ITFarmHosts
    SamAccountName Nombre NetBIOS del servicio, si no es el mismo que el de Name ITFarm1
    ServicePrincipalNames Nombres de las entidades de servicio (SPN) del servicio http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01

    Importante

    El intervalo de cambio de la contraseña solo se puede definir durante la creación. Si necesitas cambiar este intervalo, tendrás que crear una nueva gMSA y definir el intervalo al crearla.

    Ejemplo

    Escribe el comando en una sola línea, aunque aquí pueda aparecer con saltos de línea debido a las limitaciones del formato.

    New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso

Para completar este procedimiento, el requisito mínimo es ser miembro de Admins. del dominio u Opers. de cuentas o poder crear objetos msDS-GroupManagedServiceAccount. Para obtener información detallada sobre el uso de las cuentas adecuadas y las pertenencias a grupos, vea Grupos predeterminados locales y de dominio.

Para crear una gMSA de autenticación de salida solamente con el cmdlet New-ADServiceAccount

  1. En el controlador de dominio de Windows Server 2012, ejecute Windows PowerShell desde la Barra de tareas.

  2. Escribe los siguientes comandos en el símbolo del sistema del módulo de Active Directory de Windows PowerShell y, luego, presiona ENTRAR:

    New-ADServiceAccount [-Name] <cadena> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]

    Parámetro String Ejemplo
    Nombre Nombre de la cuenta ITFarm1
    ManagedPasswordIntervalInDays Intervalo de cambio de la contraseña en días (si no se especifica, el valor predeterminado es 30 días) 75
    PrincipalsAllowedToRetrieveManagedPassword Las cuentas de equipo de los hosts miembros o el grupo de seguridad al que pertenecen los hosts miembros ITFarmHosts

    Importante

    El intervalo de cambio de la contraseña solo se puede definir durante la creación. Si necesitas cambiar este intervalo, tendrás que crear una nueva gMSA y definir el intervalo al crearla.

Ejemplo

New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$

Paso 2: Configuración del servicio de aplicación de identidad de servicio

Para configurar los servicios en Windows Server 2012, consulte la siguiente documentación de las características:

Puede haber otros servicios que admitan gMSA. Para ver información detallada sobre cómo configurar esos servicios, consulta la documentación del producto correspondiente.

Adición de hosts miembros a una granja de servidores existente

Si se usan grupos de seguridad para administrar los hosts miembros, agregue la cuenta de equipo para el nuevo host miembro al grupo de seguridad (al que pertenecen los hosts miembros de la gMSA) mediante uno de los siguientes métodos.

Para completar estos procedimientos, el requisito mínimo es ser miembro de Admins. del dominio o poder agregar miembros al objeto del grupo de seguridad.

Si usas cuentas de equipo, busca las cuentas existentes y agrega la nueva cuenta de equipo.

Para completar este procedimiento, el requisito mínimo es ser miembro de Admins. del dominio u Opers. de cuentas o poder administrar objetos msDS-GroupManagedServiceAccount. Para ver información detallada sobre el uso de las cuentas adecuadas y las pertenencias a grupos, consulte Grupos predeterminados locales y de dominio.

Para agregar hosts miembros con el cmdlet Set-ADServiceAccount

  1. En el controlador de dominio de Windows Server 2012, ejecute Windows PowerShell desde la Barra de tareas.

  2. Escribe los siguientes comandos en el símbolo del sistema del módulo de Active Directory de Windows PowerShell y, luego, presiona ENTRAR:

    Get-ADServiceAccount [-Identity] <cadena> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. Escribe los siguientes comandos en el símbolo del sistema del módulo de Active Directory de Windows PowerShell y, luego, presiona ENTRAR:

    Set-ADServiceAccount [-Identity] <cadena> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

Parámetro String Ejemplo
Nombre Nombre de la cuenta ITFarm1
PrincipalsAllowedToRetrieveManagedPassword Las cuentas de equipo de los hosts miembros o el grupo de seguridad al que pertenecen los hosts miembros Host1, Host2, Host3

Ejemplo

Por ejemplo, para agregar hosts miembros, escribe los siguientes comandos y, luego, presiona ENTRAR.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$

Actualización de las propiedades de las cuentas de servicio administradas de grupo

Para completar estos procedimientos, el requisito mínimo es ser miembro de Admins. del dominio u Opers. de cuentas o poder escribir en objetos msDS-GroupManagedServiceAccount.

Abre el módulo de Active Directory para Windows PowerShell y define las propiedades con el cmdlet Set-ADServiceAccount.

Para ver información detallada sobre cómo definir estas propiedades, consulte Set-ADServiceAccount en la biblioteca de TechNet o escriba Get-Help Set-ADServiceAccount en el símbolo del sistema del módulo de Active Directory para Windows PowerShell y presione ENTRAR para consultarlo.

Retirada de hosts miembros de una granja de servidores existente

Para completar estos procedimientos, el requisito mínimo es ser miembro de Admins. del dominio o poder quitar miembros del objeto del grupo de seguridad.

Paso 1: Eliminación del host miembro de la gMSA

Si se usan grupos de seguridad para administrar los hosts miembros, quite la cuenta de equipo para el host miembro retirado del grupo de seguridad al que pertenecen los hosts miembros de la gMSA mediante uno de los siguientes métodos.

Si usas listas de cuentas de equipo, recupera las cuentas existentes y, luego, agrega todas menos la cuenta del equipo quitado.

Para completar este procedimiento, el requisito mínimo es ser miembro de Admins. del dominio u Opers. de cuentas o poder administrar objetos msDS-GroupManagedServiceAccount. Para ver información detallada sobre el uso de las cuentas adecuadas y las pertenencias a grupos, consulte Grupos predeterminados locales y de dominio.

Para quitar hosts miembros con el cmdlet Set-ADServiceAccount

  1. En el controlador de dominio de Windows Server 2012, ejecute Windows PowerShell desde la Barra de tareas.

  2. Escribe los siguientes comandos en el símbolo del sistema del módulo de Active Directory de Windows PowerShell y, luego, presiona ENTRAR:

    Get-ADServiceAccount [-Identity] <cadena> -Properties PrincipalsAllowedToRetrieveManagedPassword

  3. Escribe los siguientes comandos en el símbolo del sistema del módulo de Active Directory de Windows PowerShell y, luego, presiona ENTRAR:

    Set-ADServiceAccount [-Identity] <cadena> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>

Parámetro String Ejemplo
Nombre Nombre de la cuenta ITFarm1
PrincipalsAllowedToRetrieveManagedPassword Las cuentas de equipo de los hosts miembros o el grupo de seguridad al que pertenecen los hosts miembros Host1, Host3

Ejemplo

Por ejemplo, para quitar hosts miembros, escribe los siguientes comandos y, luego, presiona ENTRAR.

Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword

Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$

Paso 2: Eliminación de una cuenta de servicio administrada de grupo del sistema

Quita del host miembro las credenciales almacenadas en caché de la gMSA con Uninstall-ADServiceAccount o la API NetRemoveServiceAccount en el sistema host.

El requisito mínimo para completar estos procedimientos es pertenecer al grupo Administradores u otro equivalente.

Para quitar una gMSA con el cmdlet Uninstall-ADServiceAccount

  1. En el controlador de dominio de Windows Server 2012, ejecute Windows PowerShell desde la Barra de tareas.

  2. Escribe los siguientes comandos en el símbolo del sistema del módulo de Active Directory de Windows PowerShell y, luego, presiona ENTRAR:

    Uninstall-ADServiceAccount <ADServiceAccount>

    Ejemplo

    Por ejemplo, para quitar las credenciales almacenadas en caché de una gMSA llamada ITFarm1, escribe el siguiente comando y presiona ENTRAR:

    Uninstall-ADServiceAccount ITFarm1

Para obtener más información sobre el cmdlet Uninstall-ADServiceAccount, en el símbolo del sistema del módulo de Active Directory para Windows PowerShell, escriba Get-Help Uninstall-ADServiceAccounty presione ENTRAR o consulte la información de la web de TechNet en Uninstall-ADServiceAccount.