Getting Started with Group Managed Service Accounts
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Esta guía proporciona instrucciones paso a paso e información general para habilitar y usar cuentas de servicio administradas de grupo en Windows Server 2012.
En este documento
Adición de hosts miembros a una granja de servidores existente
Actualización de las propiedades de las cuentas de servicio administradas de grupo
Retirada de hosts miembros de una granja de servidores existente
Nota
Este tema incluye cmdlets de Windows PowerShell de ejemplo que puede usar para automatizar algunos de los procedimientos descritos. Para obtener más información, consulte Uso de Cmdlets.
Requisitos previos
Consulta la sección de este tema que trata de los Requisitos de las cuentas de servicio administradas de grupo.
Introducción
Cuando un equipo cliente se conecta a un servicio hospedado en una granja de servidores con equilibrio de carga de red (NLB) o algún otro método en el que todos los servidores aparezcan como un mismo servicio de cara al cliente, no se pueden usar protocolos de autenticación que admitan la autenticación mutua, como Kerberos, salvo que todas las instancias de los servicios utilicen la misma entidad de seguridad. Esto implica que todos los servicios tienen que usar las mismas contraseñas o claves para demostrar su identidad.
Nota
Los clústeres de conmutación por error no admiten las cuentas de servicio administradas de grupo (gMSA). Sin embargo, los servicios que se ejecutan sobre el Servicio de clúster pueden utilizar una gMSA o una cuenta de servicio administrada independiente (sMSA) si son servicios de Windows, grupos de aplicaciones o tareas programadas, o si admiten gSMA o sMSA de forma nativa.
Los servicios tienen las siguientes entidades de seguridad entre las que pueden elegir, y cada una de ellas tiene determinadas limitaciones.
Principals | Servicios admitidos | Administración de contraseñas |
---|---|---|
Cuenta de equipo del sistema de Windows | Limitado a un servidor unido a un dominio | El equipo administra |
Cuenta de equipo sin sistema de Windows | Cualquier servidor unido a un dominio | Ninguno |
Cuenta virtual | Limitado a un servidor | El equipo administra |
Cuenta de servicio administrada independiente de Windows 7 | Limitado a un servidor unido a un dominio | El equipo administra |
Cuenta de usuario | Cualquier servidor unido a un dominio | Ninguno |
Cuenta de servicio administrada de grupo | Cualquier servidor unido a un dominio de Windows Server 2012 | El controlador de dominio administra y el host recupera |
No se pueden compartir entre varios sistemas una cuenta de equipo de Windows, una cuenta de servicio administrada independiente (sMSA) de Windows 7 ni las cuentas virtuales. En el caso de las cuentas virtuales, la identidad también es local para la máquina y el dominio no la reconoce. Si configuras una cuenta para que la compartan los servicios de las granjas de servidores, tendrás que elegir una cuenta de usuario o una cuenta de equipo aparte de un sistema de Windows. En cualquiera de estos dos casos, las cuentas no tienen la funcionalidad de administrar contraseñas con un solo punto de control. Esto genera un problema: cada organización se ve obligada a crear una solución costosa para actualizar las claves del servicio en Active Directory y, luego, distribuir las claves a todas las instancias de esos servicios.
Con Windows Server 2012, los servicios o quienes administran los servicios no necesitan administrar la sincronización de contraseña entre las instancias de servicio al usar cuentas de servicio administradas de grupo (gMSA). Se aprovisiona la gMSA en AD y, después, se configura el servicio que admite las cuentas de servicio administradas. El uso de gMSA se limita a cualquier máquina que pueda usar (protocolo ligero de acceso a directorios) para recuperar las credenciales de gMSA. Puedes aprovisionar una gMSA con los cmdlets *-ADServiceAccount que forman parte del módulo de Active Directory. Admiten la configuración de identidades de servicio en el host:
Las mismas API que sMSA, de modo que los productos que admiten sMSA admiten también gMSA.
Los servicios que utilizan el Administrador de control de servicios para configurar la identidad de inicio de sesión.
Los servicios que utilizan el Administrador de IIS para los grupos de aplicaciones con el fin de configurar la identidad.
Las tareas que utilizan el Programador de tareas.
Requisitos de las cuentas de servicio administradas de grupo
En la siguiente tabla, se indican los requisitos del sistema operativo que se deben cumplir para que la autenticación Kerberos funcione con los servicios que usan gMSA. Los requisitos de Active Directory se indican debajo de la tabla.
Para ejecutar los comandos de Windows PowerShell que se usan para administrar cuentas de servicio administradas de grupo, se necesita una arquitectura de 64 bits.
Requisitos del sistema operativo
Elemento | Requisito | Sistema operativo |
---|---|---|
Host de la aplicación cliente | Cliente Kerberos que cumpla RFC | Windows XP como mínimo |
Controladores de dominio del dominio de la cuenta de usuario | KDC que cumpla RFC | Windows Server 2003 como mínimo |
Hosts miembros de los servicios compartidos | Windows Server 2012 | |
Controladores de dominio del dominio del host miembro | KDC que cumpla RFC | Windows Server 2003 como mínimo |
Controladores de dominio del dominio de la cuenta de gMSA | Controladores de dominio de Windows Server 2012 disponibles para que el host recupere la contraseña | Dominio con Windows Server 2012 que pueden tener algunos sistemas anteriores a Windows Server 2012 |
Host del servicio backend | Servidor de aplicaciones Kerberos que cumpla RFC | Windows Server 2003 como mínimo |
Controladores de dominio del dominio de la cuenta de servicio de back-end | KDC que cumpla RFC | Windows Server 2003 como mínimo |
Windows PowerShell para Active Directory | Windows PowerShell para Active Directory instalado localmente en un equipo que admita una arquitectura de 64 bits o en el equipo de administración remoto (por ejemplo, con el kit de herramientas de administración remota del servidor) | Windows Server 2012 |
Requisitos de los Servicios de dominio de Active Directory
Para crear una gMSA, el esquema de Active Directory del bosque del dominio en la gMSA se tiene que actualizar a Windows Server 2012.
Puede actualizar el esquema instalando un controlador de dominio que ejecute Windows Server 2012 o ejecutando la versión de adprep.exe desde un equipo que ejecute Windows Server 2012. El valor del atributo object-version del objeto CN=Schema,CN=Configuration,DC=Contoso,DC=Com debe ser 52.
Nueva cuenta gMSA aprovisionada
Si administras el permiso del host de servicios para usar gMSA por grupo, un grupo de seguridad nuevo o existente
Si administras el control de acceso a los servicios por grupo, un grupo de seguridad nuevo o existente
Si no está implementada en el dominio o no se creó la primera clave raíz maestra de Active Directory, créala. Se puede comprobar el resultado de la creación en el registro operativo KdsSvc, identificador de evento 4004.
Para obtener instrucciones acerca de cómo crear la clave, consulte Crear la clave raíz de KDS (servicio de distribución de claves). Servicio de distribución de claves de Microsoft (kdssvc.dll): la clave raíz de AD.
Ciclo de vida
El ciclo de vida de una granja de servidores que utiliza la característica de gMSA suele incluir las siguientes tareas:
Implementación de una nueva granja de servidores
Adición de hosts miembros a una granja de servidores existente
Retirada de hosts miembros de una granja de servidores existente
Retirada de una granja de servidores existente
Eliminación de un host miembro que perdió su carácter confidencial de una granja de servidores si es necesario.
Implementación de una nueva granja de servidores
Al implementar una nueva granja de servidores, el administrador de servicios tendrá que averiguar:
Si el servicio admite el uso de gMSA.
Si el servicio requiere conexiones autenticadas de entrada o de salida.
Los nombres de las cuentas de equipo de los hosts miembros del servicio que usan la gMSA.
El nombre NetBIOS del servicio.
El nombre del host DNS del servicio.
Los nombres de las entidades de servicio (SPN) del servicio.
El intervalo de cambio de la contraseña (el valor predeterminado es 30 días).
Paso 1: Aprovisionamiento de cuentas de servicio administradas de grupo
Solo puede crear una gMSA si el esquema del bosque se actualizó a Windows Server 2012, si se implementó la clave raíz principal para Active Directory y si hay al menos un controlador de dominio de Windows Server 2012 en el dominio donde se creará la gMSA.
Para completar los siguientes procedimientos, el requisito mínimo es ser miembro de Administración del dominio o poder crear objetos msD-GroupManagedServiceAccount.
Nota
Siempre se requiere un valor para el parámetro -Name (ya sea que especifique -Name o no), con -DNSHostName, -RestrictToSingleComputer y -RestrictToOutboundAuthentication como requisitos secundarios para los tres escenarios de implementación.
Para crear una gMSA con el cmdlet New-ADServiceAccount
En el controlador de dominio de Windows Server 2012, ejecute Windows PowerShell desde la Barra de tareas.
Escribe los siguientes comandos en el símbolo del sistema de Windows PowerShell y, luego, presiona ENTRAR. (El módulo de Active Directory se cargará automáticamente).
New-ADServiceAccount [-Name] <cadena> -DNSHostName <cadena> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <cadena>] [-ServicePrincipalNames <cadena[]>]
Parámetro String Ejemplo Nombre Nombre de la cuenta ITFarm1 DNSHostName Nombre del host DNS del servicio ITFarm1.contoso.com KerberosEncryptionType Todos los tipos de cifrado admitidos por los servidores host Ninguno, RC4, AES128, AES256 ManagedPasswordIntervalInDays Intervalo de cambio de la contraseña en días (si no se especifica, el valor predeterminado es 30 días) 90 PrincipalsAllowedToRetrieveManagedPassword Las cuentas de equipo de los hosts miembros o el grupo de seguridad al que pertenecen los hosts miembros ITFarmHosts SamAccountName Nombre NetBIOS del servicio, si no es el mismo que el de Name ITFarm1 ServicePrincipalNames Nombres de las entidades de servicio (SPN) del servicio http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01 Importante
El intervalo de cambio de la contraseña solo se puede definir durante la creación. Si necesitas cambiar este intervalo, tendrás que crear una nueva gMSA y definir el intervalo al crearla.
Ejemplo
Escribe el comando en una sola línea, aunque aquí pueda aparecer con saltos de línea debido a las limitaciones del formato.
New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Para completar este procedimiento, el requisito mínimo es ser miembro de Admins. del dominio u Opers. de cuentas o poder crear objetos msDS-GroupManagedServiceAccount. Para obtener información detallada sobre el uso de las cuentas adecuadas y las pertenencias a grupos, vea Grupos predeterminados locales y de dominio.
Para crear una gMSA de autenticación de salida solamente con el cmdlet New-ADServiceAccount
En el controlador de dominio de Windows Server 2012, ejecute Windows PowerShell desde la Barra de tareas.
Escribe los siguientes comandos en el símbolo del sistema del módulo de Active Directory de Windows PowerShell y, luego, presiona ENTRAR:
New-ADServiceAccount [-Name] <cadena> -RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]
Parámetro String Ejemplo Nombre Nombre de la cuenta ITFarm1 ManagedPasswordIntervalInDays Intervalo de cambio de la contraseña en días (si no se especifica, el valor predeterminado es 30 días) 75 PrincipalsAllowedToRetrieveManagedPassword Las cuentas de equipo de los hosts miembros o el grupo de seguridad al que pertenecen los hosts miembros ITFarmHosts Importante
El intervalo de cambio de la contraseña solo se puede definir durante la creación. Si necesitas cambiar este intervalo, tendrás que crear una nueva gMSA y definir el intervalo al crearla.
Ejemplo
New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$
Paso 2: Configuración del servicio de aplicación de identidad de servicio
Para configurar los servicios en Windows Server 2012, consulte la siguiente documentación de las características:
Grupo de aplicaciones de IIS
Para obtener más información, consulte Especificar una identidad para un grupo de aplicaciones (IIS 7).
servicios de Windows
Para obtener más información, consulte Servicios.
Tareas
Para obtener más información, consulte la Introducción al Programador de tareas.
Puede haber otros servicios que admitan gMSA. Para ver información detallada sobre cómo configurar esos servicios, consulta la documentación del producto correspondiente.
Adición de hosts miembros a una granja de servidores existente
Si se usan grupos de seguridad para administrar los hosts miembros, agregue la cuenta de equipo para el nuevo host miembro al grupo de seguridad (al que pertenecen los hosts miembros de la gMSA) mediante uno de los siguientes métodos.
Para completar estos procedimientos, el requisito mínimo es ser miembro de Admins. del dominio o poder agregar miembros al objeto del grupo de seguridad.
Método 1: Usuarios y equipos de Active Directory
Para ver los procedimientos de este método, consulte Agregarcuentas de equipo a grupos con la interfaz de Windows y Administrar dominios diferentes en el Centro de administración de Active Directory.
Método 2: dsmod
Para ver los procedimientos de este método, consulte Agregar cuentas de equipo a grupos con la línea de comandos.
Método 3: cmdlet de Active Directory de Windows PowerShell Add-ADPrincipalGroupMembership
Para ver los procedimientos de este método, consulte Add-ADPrincipalGroupMembership.
Si usas cuentas de equipo, busca las cuentas existentes y agrega la nueva cuenta de equipo.
Para completar este procedimiento, el requisito mínimo es ser miembro de Admins. del dominio u Opers. de cuentas o poder administrar objetos msDS-GroupManagedServiceAccount. Para ver información detallada sobre el uso de las cuentas adecuadas y las pertenencias a grupos, consulte Grupos predeterminados locales y de dominio.
Para agregar hosts miembros con el cmdlet Set-ADServiceAccount
En el controlador de dominio de Windows Server 2012, ejecute Windows PowerShell desde la Barra de tareas.
Escribe los siguientes comandos en el símbolo del sistema del módulo de Active Directory de Windows PowerShell y, luego, presiona ENTRAR:
Get-ADServiceAccount [-Identity] <cadena> -Properties PrincipalsAllowedToRetrieveManagedPassword
Escribe los siguientes comandos en el símbolo del sistema del módulo de Active Directory de Windows PowerShell y, luego, presiona ENTRAR:
Set-ADServiceAccount [-Identity] <cadena> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Parámetro | String | Ejemplo |
---|---|---|
Nombre | Nombre de la cuenta | ITFarm1 |
PrincipalsAllowedToRetrieveManagedPassword | Las cuentas de equipo de los hosts miembros o el grupo de seguridad al que pertenecen los hosts miembros | Host1, Host2, Host3 |
Ejemplo
Por ejemplo, para agregar hosts miembros, escribe los siguientes comandos y, luego, presiona ENTRAR.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$
Actualización de las propiedades de las cuentas de servicio administradas de grupo
Para completar estos procedimientos, el requisito mínimo es ser miembro de Admins. del dominio u Opers. de cuentas o poder escribir en objetos msDS-GroupManagedServiceAccount.
Abre el módulo de Active Directory para Windows PowerShell y define las propiedades con el cmdlet Set-ADServiceAccount.
Para ver información detallada sobre cómo definir estas propiedades, consulte Set-ADServiceAccount en la biblioteca de TechNet o escriba Get-Help Set-ADServiceAccount en el símbolo del sistema del módulo de Active Directory para Windows PowerShell y presione ENTRAR para consultarlo.
Retirada de hosts miembros de una granja de servidores existente
Para completar estos procedimientos, el requisito mínimo es ser miembro de Admins. del dominio o poder quitar miembros del objeto del grupo de seguridad.
Paso 1: Eliminación del host miembro de la gMSA
Si se usan grupos de seguridad para administrar los hosts miembros, quite la cuenta de equipo para el host miembro retirado del grupo de seguridad al que pertenecen los hosts miembros de la gMSA mediante uno de los siguientes métodos.
Método 1: Usuarios y equipos de Active Directory
Para ver los procedimientos de este método, consulte Eliminar cuentas de equipo con la interfaz de Windows y Administrar dominios diferentes en el Centro de administración de Active Directory.
Método 2: drsm
Para ver los procedimientos de este método, consulte Eliminar cuentas de equipo con la línea de comandos.
Método 3: cmdlet de Active Directory de Windows PowerShell Remove-ADPrincipalGroupMembership
Para obtener información detallada sobre cómo hacerlo, consulte Remove-ADPrincipalGroupMembership en la biblioteca de TechNet o escriba Get-Help Remove-ADPrincipalGroupMembership en el símbolo del sistema del módulo de Active Directory para Windows PowerShell y presione ENTRAR.
Si usas listas de cuentas de equipo, recupera las cuentas existentes y, luego, agrega todas menos la cuenta del equipo quitado.
Para completar este procedimiento, el requisito mínimo es ser miembro de Admins. del dominio u Opers. de cuentas o poder administrar objetos msDS-GroupManagedServiceAccount. Para ver información detallada sobre el uso de las cuentas adecuadas y las pertenencias a grupos, consulte Grupos predeterminados locales y de dominio.
Para quitar hosts miembros con el cmdlet Set-ADServiceAccount
En el controlador de dominio de Windows Server 2012, ejecute Windows PowerShell desde la Barra de tareas.
Escribe los siguientes comandos en el símbolo del sistema del módulo de Active Directory de Windows PowerShell y, luego, presiona ENTRAR:
Get-ADServiceAccount [-Identity] <cadena> -Properties PrincipalsAllowedToRetrieveManagedPassword
Escribe los siguientes comandos en el símbolo del sistema del módulo de Active Directory de Windows PowerShell y, luego, presiona ENTRAR:
Set-ADServiceAccount [-Identity] <cadena> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Parámetro | String | Ejemplo |
---|---|---|
Nombre | Nombre de la cuenta | ITFarm1 |
PrincipalsAllowedToRetrieveManagedPassword | Las cuentas de equipo de los hosts miembros o el grupo de seguridad al que pertenecen los hosts miembros | Host1, Host3 |
Ejemplo
Por ejemplo, para quitar hosts miembros, escribe los siguientes comandos y, luego, presiona ENTRAR.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$
Paso 2: Eliminación de una cuenta de servicio administrada de grupo del sistema
Quita del host miembro las credenciales almacenadas en caché de la gMSA con Uninstall-ADServiceAccount o la API NetRemoveServiceAccount en el sistema host.
El requisito mínimo para completar estos procedimientos es pertenecer al grupo Administradores u otro equivalente.
Para quitar una gMSA con el cmdlet Uninstall-ADServiceAccount
En el controlador de dominio de Windows Server 2012, ejecute Windows PowerShell desde la Barra de tareas.
Escribe los siguientes comandos en el símbolo del sistema del módulo de Active Directory de Windows PowerShell y, luego, presiona ENTRAR:
Uninstall-ADServiceAccount <ADServiceAccount>
Ejemplo
Por ejemplo, para quitar las credenciales almacenadas en caché de una gMSA llamada ITFarm1, escribe el siguiente comando y presiona ENTRAR:
Uninstall-ADServiceAccount ITFarm1
Para obtener más información sobre el cmdlet Uninstall-ADServiceAccount, en el símbolo del sistema del módulo de Active Directory para Windows PowerShell, escriba Get-Help Uninstall-ADServiceAccounty presione ENTRAR o consulte la información de la web de TechNet en Uninstall-ADServiceAccount.