Configuración de cuentas de servicio administradas delegadas

Una cuenta de servicio administrada delegada (dMSA) es una cuenta de Active Directory (AD) que permite administrar de forma segura y eficiente las credenciales. A diferencia de las cuentas de servicio tradicionales, con las dMSA no se necesita administrar manualmente las contraseñas, ya que AD se encarga de ello automáticamente. Con dMSA, se pueden delegar permisos específicos para acceder a los recursos del dominio, lo que reduce los riesgos de seguridad y da una mejor visibilidad y mejores registros de actividad de la cuenta de servicio.

Actualmente, la configuración de una dMSA solo está disponible en dispositivos con Windows Server 2025. DMSA es un modelo más seguro y gestionable para la administración de cuentas de servicio en comparación con las cuentas de servicio tradicionales. Al migrar servicios críticos a dMSA, las organizaciones pueden garantizar que estos servicios se administran de forma segura y compatible. DMSA aporta un mayor nivel de seguridad al ofrecer contraseñas únicas y rotadas con frecuencia, lo que reduce la probabilidad de accesos no autorizados y mejora la seguridad en general.

Prerequisites

• El rol Servicios de dominio de Active Directory debe instalarse en el dispositivo o en cualquier dispositivo si usa herramientas de administración remota. Para obtener más información, consulte Instalación o desinstalación de roles, servicios de rol o características.

• Una vez instalado el rol, el dispositivo debe promoverse a un controlador de dominio (DC). In Server Manager, the flag icon displays a new notification. Seleccione Promover este servidor a un controlador de dominio y, a continuación, complete los pasos necesarios.

• You must be a member of the Domain Admins or Enterprise Admins group, or have equivalent AD permissions, to create or migrate to a dMSA.

• Asegúrese de que se establece una relación de confianza bidireccional entre los bosques de AD pertinentes para admitir la autenticación en escenarios de cruce de dominio y bosque con dMSA.

• La clave raíz KDS debe generarse en el controlador de dominio antes de crear o migrar una dMSA. Ejecute Get-KdsRootKey en PowerShell para comprobar si la clave está disponible. Si la clave no está disponible, se puede agregar ejecutando Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10)).

  Note

  Para usar dMSA como una cuenta de servicio administrada independiente (MSA) o para reemplazar una cuenta de servicio heredada, es necesario ejecutar el siguiente comando en el dispositivo cliente:

  $params = @{
   Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
   Name = "DelegatedMSAEnabled"
   Value = 1
   Type = "DWORD"
  }
  Set-ItemProperty @params
  

Creación de una dMSA independiente

Las instrucciones siguientes permiten a los usuarios crear una nueva dMSA sin migrar de una cuenta de servicio tradicional.

1. Abra una sesión en PowerShell con derechos de administrador y ejecute lo siguiente:

   $params = @{
    Name = "ServiceAccountName"
    DNSHostName = "DNSHostName"
    CreateDelegatedServiceAccount = $true
    KerberosEncryptionType = "AES256"
   }
   New-ADServiceAccount @params
   

2. Otorgue permiso al dispositivo específico para recuperar la contraseña de la cuenta de servicio en AD:

   $params = @{
    Identity = "DMSA Name"
    PrincipalsAllowedToRetrieveManagedPassword = "Machine$"
   }
   Set-ADServiceAccount @params
   

3. The msDS-DelegatedMSAState property value for the dMSA must be set to 3. Para ver el valor actual de la propiedad, ejecute:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = "msDS-DelegatedMSAState"
   }
   Get-ADServiceAccount @params
   

   To set this value to 3, run:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = @{
     "msDS-DelegatedMSAState" = 3
    }
   }
   Set-ADServiceAccount @params
   

Migración a una dMSA

Para migrar una cuenta de servicio a una dMSA, siga estos pasos:

1. Cree una dMSA, tal como se describe en Creación de una dMSA independiente.

2. Inicie la migración de cuenta a una dMSA:

   $params = @{
    Identity = "<DMSAName>"
    SupersededAccount = "<DN of service account>"
   }
   Start-ADServiceAccountMigration @params
   

3. Si la cuenta de servicio que se va a migrar a una dMSA tiene acceso a varios servidores, primero se debe aplicar una directiva del registro para asegurarse de que tiene como valor predeterminado el controlador de dominio. Una vez que inicie sesión con dMSA, ejecute:

   $params = @{
    Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
    Name = "DelegatedMSAEnabled"
    Value = "1"
    PropertyType = "DWORD"
    Force = $true
   }
   New-ItemProperty @params
   

4. Una vez que se hayan aplicado los cambios en el registro y se haya vinculado la cuenta, reinicie los servicios en ejecución de la cuenta ejecutando:

   Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
   

Note

In the case that the service account is connected to multiple devices and migration has ended, the PrincipalsAllowedToRetrieveManagedPassword needs to be updated manually.

Completar la migración de la cuenta

Warning

When finalizing the migration, never delete the original service account in case you need to revert back to it post migration as this causes several issues.

Para completar la migración de la cuenta, las cuentas de servicio tradicionales deben deshabilitarse para asegurarse de que todos los servicios usen dMSA.

Para deshabilitar la cuenta de servicio tradicional, ejecute el siguiente comando:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params

Si se migra la cuenta incorrecta, ejecute lo siguiente para deshacer todos los pasos durante la migración:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params

Para revertir una cuenta de servicio a un estado inactivo o desvinculado, ejecute:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params

Visualización de registros de eventos de dMSA

Para ver los eventos mediante el Visor de eventos (eventvwr.exe), realice las siguientes acciones:

1. Right-click on Start and select Event Viewer.
2. En el panel izquierdo, expanda Aplicaciones y servicios y vaya a Microsoft\Windows\Security-Kerberos\Operational.
3. Logging for this provider is disabled by default, to enable logging, right-click on Operational and select Enable Log.

En la siguiente tabla se describen estos eventos capturados.

Event ID	Description
307	dMSA Migration - This event is written for both dMSAs under migration and for ones that migrated. Contiene información sobre la cuenta de servicio antigua y la nueva dMSA.
308	Adición de permisos de dMSA - Este evento se registra cuando una máquina intenta añadirse a las entidades de seguridad permitidas para recuperar el campo de contraseña administrada de una dMSA durante la migración.
309	Captura de clave de dMSA - Este evento se registra cuando el cliente Kerberos intenta recuperar las claves para una dMSA desde el controlador de dominio.

See also

• New-ADServiceAccount
• Complete-ADServiceAccountMigration
• Reset-ADServiceAccountMigration
• Start-ADServiceAccountMigration
• Undo-ADServiceAccountMigration