Group Managed Service Accounts Overview

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Este artículo para profesionales de TI sirve de introducción a la cuenta de servicio administrada de grupo (gMSA). En él, se describen las aplicaciones prácticas, los cambios en la implementación de Microsoft, los requisitos de hardware y software.

Descripción de la característica

Una cuenta de servicio administrado independiente (sMSA) es una cuenta de dominio administrada que proporciona administración automática de contraseñas, administración simplificada de nombres de entidad de seguridad de servicio (SPN) y la posibilidad de delegar la administración a otros administradores. Este tipo de cuenta de servicio administrada (MSA) se introdujo en Windows Server 2008 R2 y Windows 7.

La cuenta de servicio administrada de grupo (gMSA) ofrece la misma funcionalidad dentro del dominio y también amplía esa funcionalidad por medio de varios servidores. Al establecer una conexión con un servicio hospedado en una granja de servidores (como una solución de equilibrio de carga de red), los protocolos de autenticación que admiten la autenticación mutua necesitan que todas las instancias de los servicios usen la misma entidad de seguridad. Cuando una gMSA se usa como una entidad de seguridad de servicio, el sistema operativo de Windows administra la contraseña de la cuenta en lugar de recurrir al administrador para ello.

El servicio de distribución de claves de Microsoft (kdssvc.dll) le permite obtener de manera segura la clave más reciente o una clave específica con un identificador de clave para una cuenta de Active Directory. El servicio de distribución de claves comparte un secreto que se usa para crear claves para la cuenta. Estas claves cambian periódicamente. Para una gMSA, el controlador de dominio calcula la contraseña en la clave que proporciona los Servicios de Distribución de Claves proporcionan, junto con otros atributos de la gMSA. Los hosts miembros pueden obtener los valores de la contraseña actual y anterior poniéndose en contacto con el controlador de dominio.

Aplicaciones prácticas

Las gMSA proporcionan una solución de identidad individual para los servicios que se ejecutan en una granja de servidores o en los sistemas subyacentes del equilibrio de carga de la red. Al proporcionar una solución de gMSA, puede configurar servicios para la nueva entidad de seguridad de gMSA mientras Windows controla la administración de contraseñas.

Cuando los servicios o administradores de servicios usan una gMSA, no necesitan administrar la sincronización de contraseñas entre instancias de servicio. La gMSA admite hosts que permanecen sin conexión durante períodos prolongados y administra los hosts miembros para todas las instancias de un servicio. Puede implementar una granja de servidores que admita una sola identidad que los equipos cliente existentes puedan autenticar sin tener que saber a qué instancia de servicio se están conectando.

Los clústeres de conmutación por error no admiten las cuentas de servicio administradas de grupo (gMSA). Sin embargo, los servicios que se ejecutan sobre el Servicio de clúster pueden utilizar una gMSA o una cuenta de servicio administrada independiente (sMSA) si son servicios de Windows, grupos de aplicaciones o tareas programadas, o si admiten gSMA o sMSA de forma nativa.

Requisitos de software

Para ejecutar los comandos de Windows PowerShell que necesita para administrar gMSA, debe tener una arquitectura de 64 bits.

Una cuenta de servicio administrada depende de los tipos de cifrado admitidos por Kerberos. Cuando un equipo cliente se autentica en un servidor con Kerberos, el controlador de dominio crea un vale de servicio Kerberos protegido con un cifrado que admiten tanto el controlador de dominio como el servidor. El controlador de dominio usa el atributo msDS-SupportedEncryptionTypes de la cuenta para determinar qué cifrado admite el servidor. Si no hay ningún atributo, el controlador de dominio trata al equipo cliente como si no admitiera tipos de cifrado más seguros. Si ha configurado el host para que no admita RC4, siempre se produce un error en la autenticación. Por este motivo, siempre debe configurar AES para MSA.

Nota

A partir de Windows Server 2008 R2, el DES está deshabilitado de forma predeterminada. Para obtener más información sobre los tipos de cifrado compatibles, consulte Cambios en la autenticación Kerberos.

Las gMSA no son aplicables a los sistemas operativos Windows anteriores a Windows Server 2012.

Información sobre el Administrador del servidor

No es necesario realizar ninguna configuración adicional para implementar MSA y gMSA mediante el Administrador del servidor o el cmdlet Install-WindowsFeature.

Pasos siguientes

Estos son algunos otros recursos que puede leer para obtener más información sobre las cuentas de servicio administradas:

• Novedades de las cuentas de servicio administradas
• Documentación de cuentas de servicio administradas para Windows 7 y Windows Server 2008 R2
• Guía paso a paso de las cuentas de servicio
• Cuentas de servicio administradas en Active Directory
• Introducción a las cuentas de servicio administradas de grupo
• Cuentas de servicio administradas en Active Directory Domain Services
• Cuentas de servicio administradas: Comprensión, implementación, procedimientos recomendados y solución de problemas
• Introducción a Active Directory Domain Services