What's New for Managed Service Accounts
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Este tema para el profesional de TI describe los cambios en la funcionalidad para las cuentas de servicio administradas que supone la presentación de cuentas de servicio administradas por grupo (gMSA) en Windows Server 2012 y Windows 8.
La cuenta de servicio administrada se ha diseñado para proporcionar servicios y tareas como los servicios de Windows y los grupos de aplicaciones de IIS a fin de compartir sus propias cuentas de dominio, a la vez que se elimina la necesidad de que un administrador administre manualmente las contraseñas de estas cuentas. Se trata de una cuenta de dominio administrada que ofrece administración de contraseñas automática.
Novedades de las cuentas de servicio administradas de Windows Server 2012 y Windows 8
A continuación, se describen los cambios en la funcionalidad que se aplicaron a MSA en Windows Server 2012 y Windows 8.
Cuentas de servicio administradas de grupo
Cuando una cuenta de dominio se configura para un servidor de dominio, el equipo cliente puede autenticarse y conectarse a ese servicio. Antes, solo dos tipos de cuenta ofrecían identidad sin requerir administración de contraseñas. Sin embargo, estos tipos de cuenta tienen limitaciones:
La cuenta de equipo se limita a un servidor de dominio y el equipo administra las contraseñas.
La cuenta de servicio administrada se limita a un servidor de dominio y el equipo administra las contraseñas.
Estas cuentas no se pueden compartir entre varios sistemas. Por lo tanto, periódicamente se debe realizar un mantenimiento de la cuenta para cada servicio de cada sistema a fin de prevenir la expiración no deseada de las contraseñas.
¿Qué valor aporta este cambio?
La cuenta de servicio administrada por grupo soluciona este problema, ya que los controladores de dominio de Windows Server 2012 administran la contraseña de la cuenta y varios sistemas de Windows Server 2012 pueden recuperar la contraseña. Esto minimiza la sobrecarga administrativa de una cuenta de servicio, ya que permite que Windows controle la administración de contraseñas para estas cuentas.
¿Qué funciona de manera diferente?
En los equipos que ejecutan Windows Server 2012 o Windows 8, es posible crear una MSA por grupo y administrarla mediante el Administrador de control de servicios de manera tal que varias instancias del servicio (por ejemplo, implementadas mediante una granja de servidores) se puedan administrar desde un solo servidor. Las herramientas y utilidades que se usan para administrar las cuentas de servicio administradas, tales como el Administrador de grupos de aplicaciones de IIS, se pueden utilizar con cuentas de servicio administradas por grupo. Los administradores de dominios pueden delegar la administración de servicios a los administradores de servicios, que pueden administrar todo el ciclo de vida de una cuenta de servicio administrada o una cuenta de servicio administrada por grupo. Los equipos cliente actuales podrán autenticarse con cualquier servicio sin saber con qué instancia de servicio se autentican.
Funcionalidad eliminada o en desuso
Para Windows Server 2012, de manera predeterminada, los cmdlets de Windows PowerShell administran las cuentas de servicio administradas por grupo en lugar de las cuentas de servicio administradas por servidores.