Cree una cuenta de servicio administrada de grupo (gMSA) en Microsoft Entra Domain Services

Las aplicaciones y servicios suelen necesitar una identidad para autenticarse con otros recursos. Por ejemplo, es posible que un servicio web tenga que autenticarse con un servicio de base de datos. Si una aplicación o servicio tiene varias instancias, como una granja de servidores web, la creación y configuración manuales de las identidades para esos recursos llevan mucho tiempo.

En su lugar, se puede crear una cuenta de servicio administrada por grupo (gMSA) en el dominio administrado de Microsoft Entra Domain Services. El SO Windows administra automáticamente las credenciales para gMSA, que simplifica la administración de grupos de recursos de gran tamaño.

En este artículo se muestra cómo crear un gMSA en un dominio administrado mediante Azure PowerShell.

Antes de empezar

Para completar este artículo, necesitará los siguientes recursos y privilegios:

Información general sobre las cuentas de servicio administradas

Una cuenta de servicio administrada independiente (sMSA) es una cuenta de dominio cuya contraseña se administra automáticamente. Este enfoque simplifica la administración de los nombres de entidad de seguridad de servicio (SPN), y permite delegar la administración a otros administradores. No es necesario crear y girar credenciales manualmente para la cuenta.

Una cuenta de servicio administrada de grupo (gMSA) proporciona la misma simplificación de administración, pero para varios servidores del dominio. Una gMSA permite a todas las instancias de un servicio hospedado en una granja de servidores usar la misma entidad de servicio para que los protocolos de autenticación mutua funcionen. Cuando se usa una gMSA como entidad de servicio, el sistema operativo Windows vuelve a administrar la contraseña de la cuenta en lugar de recurrir al administrador.

Para más información, consulte Introducción a las cuentas de servicio administradas de grupo (gMSA).

Uso de cuentas de servicio en Domain Services

A medida que los dominios administrados están bloqueados y administrados por Microsoft, existen algunas consideraciones que se deben tener en cuenta al usar cuentas de servicio:

  • Cree cuentas de servicio en unidades organizativas (UO) personalizadas en el dominio administrado.
    • No se puede crear una cuenta de servicio en las unidades organizativas integradas Usuarios AADDC ni Equipos AADDC.
    • En su lugar, cree una unidad organizativa personalizada en el dominio administrado y luego, cree cuentas de servicio en esa unidad organizativa personalizada.
  • La clave raíz de servicios de distribución de claves (KDS) se ha creado previamente.
    • La clave raíz de KDS se usa para generar y recuperar contraseñas para gMSA. En Domain Services, la raíz de KDS se crea automáticamente.
    • No tiene privilegios para crear otra o ver el valor predeterminado, la clave raíz de KDS.

Crear una gMSA

En primer lugar, cree una unidad organizativa personalizada mediante el cmdlet New-ADOrganizationalUnit. Para obtener más información sobre cómo crear y administrar unidades organizativas personalizadas, consulte Creación de una unidad organizativa en un dominio administrado de Domain Services.

Sugerencia

Para completar estos pasos con el fin de crear una gMSA, use la máquina virtual de administración. Esta máquina virtual de administración ya debe tener los cmdlets de AD PowerShell necesarios y la conexión al dominio administrado.

En el siguiente ejemplo se crea una unidad organizativa personalizada llamada myNewOU en el dominio administrado denominado aaddscontoso.com. Use su propia unidad organizativa y nombre de dominio administrado:

New-ADOrganizationalUnit -Name "myNewOU" -Path "DC=aaddscontoso,DC=COM"

Ahora, cree una gMSA mediante el cmdlet New-ADServiceAccount. Se definen los siguientes parámetros de ejemplo:

  • -Name se establece en WebFarmSvc
  • El parámetro -Path especifica la unidad organizativa personalizada para la gMSA creada en el paso anterior.
  • Las entradas de DNS y los nombres de entidad de seguridad de servicio se establecen para WebFarmSvc.aaddscontoso.com
  • Las entidades de seguridad en AADDSCONTOSO-SERVER$ pueden recuperar la contraseña y usar la identidad.

Especifique sus propios nombres y nombres de dominio.

New-ADServiceAccount -Name WebFarmSvc `
    -DNSHostName WebFarmSvc.aaddscontoso.com `
    -Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
    -KerberosEncryptionType AES128, AES256 `
    -ManagedPasswordIntervalInDays 30 `
    -ServicePrincipalNames http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
        http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
        http/WebFarmSvc/aaddscontoso.com, `
        http/WebFarmSvc/aaddscontoso `
    -PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$

Ahora se pueden configurar las aplicaciones y servicios para usar la gMSA según sea necesario.

Pasos siguientes

Para más información sobre las gMSA, consulte Introducción a las cuentas de servicio administradas de grupo.