Group Managed Service Accounts Overview
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
En este tema para profesionales de TI se presenta la cuenta de servicio administrada de grupo mediante la descripción de aplicaciones prácticas, cambios en la implementación de Microsoft y requisitos de hardware y software.
Descripción de la característica
Una cuenta de servicio administrada independiente (sMSA) es una cuenta de dominio administrada que proporciona administración automática de contraseñas, administración simplificada de nombres de entidad de seguridad de servicio (SPN) y la capacidad de delegar la administración a otros administradores. Este tipo de cuenta de servicio administrada (MSA) se incorporó por primera vez en Windows Server 2008 R2 y Windows 7.
La cuenta de servicio administrada del grupo (gMSA) proporciona la misma funcionalidad dentro del dominio, pero también amplía esa funcionalidad a través de varios servidores. Al conectarse a un servicio hospedado en una granja de servidores, como la solución Network Load Balanced, los protocolos de autenticación que admiten la autenticación mutua requieren que todas las instancias de los servicios usen la misma entidad de seguridad. Cuando se usa una gMSA como entidades de servicio, el sistema operativo Windows administra la contraseña de la cuenta en lugar de confiar en el administrador para administrar la contraseña.
El servicio de distribución de claves de Microsoft (kdssvc.dll) proporciona el mecanismo para obtener de manera segura la clave más reciente o una clave específica con un identificador de clave para una cuenta de Active Directory. El servicio de distribución de claves comparte un secreto que se usa para crear claves para la cuenta. Estas claves se cambian de forma periódica. Para una gMSA, el controlador de dominio calcula la contraseña en la clave proporcionada por los Servicios de distribución de claves, además de otros atributos de la gMSA. Los hosts miembros pueden obtener los valores de contraseña actuales y anteriores poniéndose en contacto con un controlador de dominio.
Aplicaciones prácticas
Las gMSA proporcionan una única solución de identidad para los servicios que se ejecutan en una granja de servidores o en sistemas detrás de Network Load Balancer. Al proporcionar una solución gMSA, los servicios se pueden configurar para la nueva entidad de seguridad de gMSA y Windows controla la administración de contraseñas.
No es necesario usar una gMSA, servicios o administradores de servicios para administrar la sincronización de contraseñas entre instancias de servicio. La gMSA admite hosts que se mantienen sin conexión durante un período de tiempo prolongado y la administración de hosts miembros para todas las instancias de un servicio. Esto significa que es posible implementar una granja de servidores que admite una sola identidad con la que pueden autenticarse los equipos cliente actuales sin saber a qué instancia del servicio se conectan.
Los clústeres de conmutación por error no admiten las cuentas de servicio administradas de grupo (gMSA). Sin embargo, los servicios que se ejecutan sobre el Servicio de clúster pueden utilizar una gMSA o una cuenta de servicio administrada independiente (sMSA) si son servicios de Windows, grupos de aplicaciones o tareas programadas, o si admiten gSMA o sMSA de forma nativa.
Requisitos de software
Se requiere una arquitectura de 64 bits para ejecutar los comandos de Windows PowerShell que se usan para administrar gMSA.
Una cuenta de servicio administrada depende de los tipos de cifrado compatibles con Kerberos. Cuando un equipo cliente se autentica en un servidor con Kerberos, el controlador de dominio crea un vale de servicio Kerberos protegido con un cifrado que admiten tanto el controlador de dominio como el servidor. El controlador de dominio usa el atributo msDS-SupportedEncryptionTypes de la cuenta para determinar qué cifrado admite el servidor y, si no hay ningún atributo, supone que el equipo cliente no admite tipos de cifrado más seguros. Si el host está configurado para no admitir RC4, siempre se producirá un error en la autenticación. Es por esto que el AES siempre se debe configurar expresamente para MSA.
Nota
Desde Windows Server 2008 R2, el DES está deshabilitado de forma predeterminada. Para obtener más información sobre los tipos de cifrado compatibles, consulte Cambios en la autenticación Kerberos.
Las gMSA no son aplicables a los sistemas operativos Windows antes de Windows Server 2012.
Información sobre el Administrador del servidor
No hay pasos de configuración necesarios para implementar MSA y gMSA mediante Administrador del servidor o el cmdlet Install-WindowsFeature.
Consulte también
En la tabla siguiente se proporcionan vínculos a recursos adicionales relacionados con las cuentas de servicio administradas y las cuentas de servicio administradas de grupo.
| Tipo de contenido | Referencias |
|---|---|
| Evaluación del producto | What's New for Managed Service Accounts Documentación de cuentas de servicio administradas para Windows 7 y Windows Server 2008 R2 |
| Planeamiento | No disponible todavía |
| Implementación | No disponible todavía |
| Operaciones | Cuentas de servicio administradas en Active Directory |
| Solución de problemas | No disponible todavía |
| Evaluación | Introducción con cuentas de servicio administradas de grupo |
| Herramientas y configuración | Cuentas de servicio administradas en Active Directory Domain Services |
| Recursos de la comunidad | Cuentas de servicio administradas: Comprensión, implementación, procedimientos recomendados y solución de problemas |
| Tecnologías relacionadas | Introducción a Active Directory Domain Services |