Group Managed Service Accounts OverviewGroup Managed Service Accounts Overview

Se aplica a: Windows Server (canal semianual), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

En este tema para profesionales de TI se presenta la cuenta de servicio administrada de grupo mediante la descripción de las aplicaciones prácticas, los cambios en la implementación de Microsoft y los requisitos de hardware y software.This topic for the IT professional introduces the group Managed Service Account by describing practical applications, changes in Microsoft's implementation, and hardware and software requirements.

Descripción de la característicaFeature description

Una cuenta de servicio administrada independiente (sMSA) es una cuenta de dominio administrada que proporciona administración automática de contraseñas, administración de nombres de entidad de seguridad de servicio (SPN) simplificada y la capacidad de delegar la administración a otros administradores.A standalone Managed Service Account (sMSA) is a managed domain account that provides automatic password management, simplified service principal name (SPN) management and the ability to delegate the management to other administrators. Este tipo de cuenta de servicio administrada (MSA) se incorporó por primera vez en Windows Server 2008 R2 y Windows 7.This type of managed service account (MSA) was introduced in Windows Server 2008 R2 and Windows 7.

La cuenta de servicio administrada de grupo (gMSA) proporciona la misma funcionalidad dentro del dominio, pero también amplía esa funcionalidad en varios servidores.The group Managed Service Account (gMSA) provides the same functionality within the domain but also extends that functionality over multiple servers. Al conectarse a un servicio hospedado en una granja de servidores, como la solución de equilibrio de carga de red, los protocolos de autenticación que admiten la autenticación mutua requieren que todas las instancias de los servicios usen la misma entidad de seguridad.When connecting to a service hosted on a server farm, such as Network Load Balanced solution, the authentication protocols supporting mutual authentication require that all instances of the services use the same principal. Cuando se usa un gMSA como entidad de servicio, el sistema operativo Windows administra la contraseña de la cuenta en lugar de confiar en el administrador para administrar la contraseña.When a gMSA is used as service principals, the Windows operating system manages the password for the account instead of relying on the administrator to manage the password.

El servicio de distribución de claves de Microsoft (kdssvc. dll) proporciona el mecanismo para obtener de manera segura la clave más reciente o una clave específica con un identificador de clave para una cuenta de Active Directory.The Microsoft Key Distribution Service (kdssvc.dll) provides the mechanism to securely obtain the latest key or a specific key with a key identifier for an Active Directory account. El servicio de distribución de claves comparte un secreto que se usa para crear claves para la cuenta.The Key Distribution Service shares a secret which is used to create keys for the account. Estas claves se cambian de forma periódica.These keys are periodically changed. En el caso de una gMSA, el controlador de dominio calcula la contraseña en la clave proporcionada por los servicios de distribución de claves, además de otros atributos de gMSA.For a gMSA the domain controller computes the password on the key provided by the Key Distribution Services, in addition to other attributes of the gMSA. Los hosts miembros pueden obtener los valores de contraseña actuales y anteriores poniéndose en contacto con un controlador de dominio.Member hosts can obtain the current and preceding password values by contacting a domain controller.

Aplicaciones prácticasPractical applications

GMSA proporcionan una solución de identidad única para los servicios que se ejecutan en una granja de servidores o en sistemas que están detrás de Load Balancer de red.gMSAs provide a single identity solution for services running on a server farm, or on systems behind Network Load Balancer. Al proporcionar una solución de gMSA, los servicios se pueden configurar para la nueva entidad de seguridad de gMSA y Windows controla la administración de contraseñas.By providing a gMSA solution, services can be configured for the new gMSA principal and the password management is handled by Windows.

Al usar una gMSA, los servicios o los administradores de servicios no necesitan administrar la sincronización de contraseñas entre las instancias de servicio.Using a gMSA, services or service administrators do not need to manage password synchronization between service instances. GMSA admite hosts que se mantienen sin conexión durante un período de tiempo prolongado y la administración de hosts miembros para todas las instancias de un servicio.The gMSA supports hosts that are kept offline for an extended time period, and management of member hosts for all instances of a service. Esto significa que es posible implementar una granja de servidores que admite una sola identidad con la que pueden autenticarse los equipos cliente actuales sin saber a qué instancia del servicio se conectan.This means you can deploy a server farm that supports a single identity to which existing client computers can authenticate without knowing the instance of the service to which they are connecting.

Los clústeres de conmutación por error no admiten las cuentas de servicio administradas de grupo (gMSA).Failover clusters do not support gMSAs. Sin embargo, los servicios que se ejecutan sobre el Servicio de clúster pueden utilizar una gMSA o una cuenta de servicio administrada independiente (sMSA) si son servicios de Windows, grupos de aplicaciones o tareas programadas, o si admiten gSMA o sMSA de forma nativa.However, services that run on top of the Cluster service can use a gMSA or a sMSA if they are a Windows service, an App pool, a scheduled task, or natively support gMSA or sMSA.

Requisitos de softwareSoftware requirements

Se necesita una arquitectura de-bits 64 para ejecutar los comandos de Windows PowerShell que se usan para administrar GMSA.A 64-bit architecture is required to run the Windows PowerShell commands which are used to administer gMSAs.

Una cuenta de servicio administrada depende de los tipos de cifrado compatibles con Kerberos. Cuando un equipo cliente se autentica en un servidor con Kerberos, el controlador de dominio crea un vale de servicio Kerberos protegido con un cifrado que admiten tanto el controlador de dominio como el servidor.A managed service account is dependent upon Kerberos supported encryption types.When a client computer authenticates to a server using Kerberos the DC creates a Kerberos service ticket protected with encryption both the DC and server supports. El controlador de dominio usa el atributo msDS-SupportedEncryptionTypes de la cuenta para determinar el cifrado que el servidor admite y, si no hay ningún atributo, supone que el equipo cliente no admite tipos de cifrado más seguros.The DC uses the account's msDS-SupportedEncryptionTypes attribute to determine what encryption the server supports and, if there is no attribute, it assumes the client computer does not support stronger encryption types. Si el host está configurado para no admitir RC4, la autenticación siempre producirá un error.If the host is configured to not support RC4, then authentication will always fail. Es por esto que el AES siempre se debe configurar expresamente para MSA.For this reason, AES should always be explicitly configured for MSAs.

Nota

Desde Windows Server 2008 R2, el DES está deshabilitado de forma predeterminada.Beginning with Windows Server 2008 R2, DES is disabled by default. Para obtener más información sobre los tipos de cifrado compatibles, consulte Cambios en la autenticación Kerberos.For more information about supported encryption types, see Changes in Kerberos Authentication.

GMSA no se aplican a los sistemas operativos Windows anteriores a Windows Server 2012.gMSAs are not applicable to Windows operating systems prior to Windows Server 2012.

Información sobre el Administrador del servidorServer Manager information

No hay pasos de configuración necesarios para implementar MSA y gMSA con Administrador del servidor o el cmdlet install-WindowsFeature.There are no configuration steps necessary to implement MSA and gMSA using Server Manager or the Install-WindowsFeature cmdlet.

En la tabla siguiente se proporcionan vínculos a recursos adicionales relacionados con las cuentas de servicio administradas y las cuentas de servicio administradas de grupo.The following table provides links to additional resources related to Managed Service Accounts and group Managed Service Accounts.

Tipo de contenidoContent type ReferenciasReferences
Evaluación del productoProduct evaluation Novedades de las cuentas de servicio administradasWhat's New for Managed Service Accounts

Documentación de cuentas de servicio administradas para Windows 7 y Windows Server 2008 R2Managed Service Accounts Documentation for Windows 7 and Windows Server 2008 R2

Paso-de cuentas de servicio en la guía de paso de-Service Accounts Step-by-Step Guide
PlaneamientoPlanning No disponible aúnNot yet available
ImplementaciónDeployment No disponible aúnNot yet available
OperacionesOperations Cuentas de servicio administradas en Active DirectoryManaged Service Accounts in Active Directory
Solución de problemasTroubleshooting No disponible aúnNot yet available
evaluaciónEvaluation Introducción a las cuentas de servicio administradas de grupoGetting Started with Group Managed Service Accounts
Herramientas y configuraciónTools and settings Cuentas de servicio administradas en Active Directory Domain ServicesManaged Service Accounts in Active Directory Domain Services
Recursos de la comunidadCommunity resources Cuentas de servicio administradas: Descripción, implementación, procedimientos recomendados y solución de problemasManaged Service Accounts: Understanding, Implementing, Best Practices, and Troubleshooting
Tecnologías relacionadasRelated technologies Introducción a Active Directory Domain ServicesActive Directory Domain Services Overview