Cuentas de servicio
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Una cuenta de servicio es una cuenta de usuario que se crea expresamente para proporcionar un contexto de seguridad para los servicios que se ejecutan en los sistemas operativos Windows Server. El contexto de seguridad determina la capacidad del servicio para acceder a los recursos locales y de red. Los sistemas operativos Windows usan servicios para ejecutar varias características. Estos servicios se pueden configurar a través de las aplicaciones, el complemento Servicios o el Administrador de tareas, o bien mediante Windows PowerShell.
Este artículo contiene información sobre los siguientes tipos de cuentas de servicio:
- Cuentas de servicio administradas independientes
- Cuentas de servicio administradas de grupo
- Cuentas virtuales
Cuentas de servicio administradas independientes
Las cuentas de servicio administradas están diseñadas para aislar las cuentas de dominio en las aplicaciones esenciales, como Internet Information Services (IIS). Con ellas, un administrador ya no tiene que administrar manualmente el nombre de la entidad de seguridad de servicio (SPN) ni las credenciales de las cuentas.
Para usar cuentas de servicio administradas, el servidor en el que está instalada la aplicación o el servicio debe ejecutar Windows Server 2008 R2 o posterior. Una cuenta de servicio administrada se puede usar con los servicios de un solo equipo. Las cuentas de servicio administradas no pueden compartirse entre varios equipos y no pueden usarse en clústeres de servidores donde un servicio se replica en varios nodos de clúster. En este escenario, debe usar una cuenta de servicio administrada por grupos. Para obtener más información, vea Descripción general de las cuentas de servicio administradas por grupos.
Aparte de mejorar la seguridad que las cuentas individuales proporcionan en los servicios críticos, hay cuatro ventajas administrativas importantes asociadas a las cuentas de servicio administradas:
Permiten a los administradores crear una clase de cuentas de dominio que se pueden usar para administrar y mantener servicios en equipos locales.
A diferencia de las cuentas de dominio, en las que los administradores deben restablecer las contraseñas manualmente, las contraseñas de red de estas cuentas se restablecen automáticamente.
Para usar cuentas de servicio administradas no es necesario completar tareas complejas de administración de SPN.
Las tareas administrativas de las cuentas de servicio administradas se pueden delegar a usuarios que no son administradores.
Nota
Las cuentas de servicio administradas solo se pueden usar en los sistemas operativos Windows que aparecen en la sección "Se aplica a" al inicio de este artículo.
Cuentas de servicio administradas de grupo
Las cuentas de servicio administradas por grupos son una extensión de las cuentas de servicio administradas independientes, que se incluyeron por primera vez en Windows Server 2008 R2. Son cuentas de dominio administradas que proporcionan administración automática de contraseñas y administración simplificada de SPN, lo que incluye la delegación de la administración a otros administradores.
La cuenta de servicio administrada por grupos ofrece la misma funcionalidad que la cuenta de servicio administrada independiente dentro del dominio, pero también amplía esa funcionalidad por medio de varios servidores. Al establecer una conexión con un servicio hospedado en una granja de servidores (como el equilibrio de carga de red), los protocolos de autenticación que admiten la autenticación mutua necesitan que todas las instancias de los servicios usen la misma entidad de seguridad. Cuando la cuenta de servicio administrada por grupos se usa como la entidad de seguridad del servicio, el sistema operativo Windows Server administra la contraseña de la cuenta en lugar de recurrir al administrador para ello.
El servicio de distribución de claves de Microsoft (kdssvc.dll) proporciona el mecanismo para obtener de manera segura la clave más reciente o una clave específica con un identificador de clave para una cuenta de Active Directory (AD). Este servicio se incluyó en Windows Server 2012 y no funciona con versiones anteriores del sistema operativo Windows Server. El servicio de distribución de claves comparte un secreto que se usa para crear claves para la cuenta. Estas claves se cambian de forma periódica. En las cuentas de servicio administradas por grupos, el controlador de dominio procesa la contraseña a partir de la clave que el servicio de distribución de claves ha proporcionado, además de otros atributos de la cuenta de servicio administrada por grupos.
Usos prácticos de la administración por grupos
Las cuentas de servicio administradas por grupos proporcionan una misma solución de identidad para los servicios que se ejecutan en una granja de servidores o en los sistemas que usan el equilibrio de carga de la red. Al proporcionar una solución de cuenta de servicio administrada por grupo, se pueden configurar servicios para la entidad de servicio administrada por el grupo, y el sistema operativo controla la administración de contraseñas.
Al usar una cuenta de servicio administrada por grupo, los administradores de servicios no necesitan administrar la sincronización de contraseñas entre las instancias de servicios. Las cuentas de servicio administradas por grupos admiten hosts que permanecen sin conexión durante largos períodos de tiempo, así como la administración de hosts miembros de todas las instancias de un servicio. Esto significa que es posible implementar una granja de servidores que admite una sola identidad con la que pueden autenticarse los equipos cliente actuales sin saber a qué instancia del servicio se conectan.
Los clústeres de conmutación por error no admiten cuentas de servicio administradas por grupos. Sin embargo, los servicios que se ejecutan sobre el Servicio de clúster pueden usar una cuenta de servicio administrada por grupos o una cuenta de servicio administrada independiente si son un servicio de Windows, un grupo de aplicaciones o una tarea programada, o si admiten de forma nativa cuentas de servicio administradas por grupos o cuentas de servicio administradas independientes.
Requisitos de software de las cuentas administradas por grupos
Las cuentas de servicio administradas por grupos solo se pueden configurar y administrar en equipos con Windows Server 2012 o posterior, pero estas cuentas se pueden implementar como una única solución de identidad de servicio en dominios que todavía tengan controladores de dominio con sistemas operativos anteriores a Windows Server 2012. No existen requisitos de nivel funcional de dominio o bosque.
Se necesita una arquitectura de 64 bits para ejecutar los comandos de Windows PowerShell que se usan para administrar cuentas de servicio administradas por grupos.
Una cuenta de servicio administrada depende de los tipos de cifrado admitidos por Kerberos. Cuando un equipo cliente se autentica en un servidor mediante el protocolo Kerberos, el controlador de dominio crea un vale de servicio Kerberos que se protege con cifrado compatible tanto con el controlador de dominio como con el servidor. El controlador de dominio usa el atributo msDS-SupportedEncryptionTypes de la cuenta para determinar qué cifrado admite el servidor. Si no hay ningún atributo, se supone que el equipo cliente no admite tipos de cifrado más seguros. En las cuentas de servicio administradas siempre se debe configurar el Estándar de cifrado avanzado (AES). Si los equipos que hospedan la cuenta de servicio administrada están configurados para no admitir RC4, siempre se producirá un error en la autenticación.
Nota
Incluido desde Windows Server 2008 R2, el Estándar de cifrado de datos (DES) está deshabilitado de forma predeterminada. No se pueden usar cuentas de servicio administradas por grupos en sistemas operativos Windows anteriores a Windows Server 2012.
Para obtener más información sobre los tipos de cifrado compatibles, consulte Cambios en la autenticación Kerberos.
Cuenta de servicios gestionados delegada
Introducido en Windows Server 2025, ahora se admite la adición de un nuevo tipo de cuenta denominada cuenta de servicio gestionada delegada (dMSA). Este tipo de cuenta permite a los usuarios pasar de las cuentas de servicio tradicionales a las cuentas de máquina que tienen claves administradas y completamente aleatorias, al tiempo que deshabilitan las contraseñas originales de la cuenta de servicio. La autenticación de dMSA está vinculada a la identidad del dispositivo, lo que significa que solo las identidades de máquina especificadas asignadas en AD pueden acceder a la cuenta. Mediante el uso de dMSA, los usuarios pueden evitar el problema común de la recolección de credenciales mediante una cuenta en peligro asociada a cuentas de servicio tradicionales.
Los usuarios tienen la opción de crear una dMSA como una cuenta independiente o reemplazar una cuenta de servicio estándar existente con ella. Si una cuenta existente se reemplaza por una dMSA, se bloquea la autenticación mediante la contraseña de la cuenta anterior. En su lugar, la solicitud se redirige a la Autoridad de seguridad local (LSA) para la autenticación mediante dMSA, que tendrá acceso a los mismos recursos que la cuenta anterior en AD. Para obtener más información, consulte Información general sobre las cuentas de servicio administradas delegadas.
Cuentas virtuales
Las cuentas virtuales se incluyeron a partir de Windows Server 2008 R2 y Windows 7. Son cuentas locales administradas que simplifican la administración de servicios al proporcionar las siguientes ventajas:
- Las cuentas virtuales se administran automáticamente.
- Las cuentas virtuales pueden tener acceso a la red en un entorno de dominio.
- Administración de contraseñas no necesaria. Por ejemplo, si se usa el valor predeterminado en las cuentas de servicio durante la instalación de SQL Server en Windows Server 2008 R2, se establecerá una cuenta virtual, que usa el nombre de instancia como nombre del servicio, con el formato NET SERVICE\<SERVICENAME>.
Los servicios que se ejecutan como cuentas virtuales acceden a los recursos de red mediante las credenciales de la cuenta del equipo con el formato <domain_name>\<computer_name>$.
Para obtener información sobre cómo configurar y usar cuentas de servicio virtuales, vea Guía paso a paso sobre las cuentas de servicio.
Nota
Las cuentas virtuales solo se pueden usar en los sistemas operativos Windows que aparecen en la sección "Se aplica a" al inicio de este artículo.
Consulte también
En cuanto a otros recursos relativos a cuentas de servicio administradas independientes, cuentas de servicio administradas por grupos y cuentas virtuales, consulte lo siguiente:
| Tipo de contenido | Referencias |
|---|---|
| Evaluación del producto | Novedades de las cuentas de servicio administradas Introducción a las cuentas de servicio administradas por grupos |
| Implementación | Windows Server 2012: cuentas de servicio administradas por grupos - Plataformas de consulta a ingenieros de campo de primer nivel - Página de inicio del sitio - Blogs de TechNet |
| Tecnologías relacionadas | Entidades de seguridad Novedades de Active Directory Domain Services |