Ir al contenido principal

Cuentas de servicio administradas (MSA y gMSA)

Como administrador de sistemas, es muy frecuente encontrarse con aplicaciones instaladas en servidores que ejecutan servicios y tareas en segundo plano. Estos servicios normalmente se ejecutan al iniciarse el servidor o son desencadenados por otros eventos de la aplicación y no requieren ninguna interacción del usuario. 

Por lo tanto, para que el servicio se inicie y se autentique sin necesidad de que estemos pendientes a la expiración de la contraseña, es recomendable utilizar una cuenta de servicio.

Una cuenta de servicio administrada (MSA) es un tipo de objeto en Active Directory (msDS-ManagedServiceAccount) que fue introducido con Windows Server 2008 R2 y proporciona administración automática de contraseñas, administración simplificada de nombre principal de servicio (SPN) y la capacidad de delegar la administración a otros administradores. 


Ventajas

  • Gestión simplificada de contraseñas
  • Gestión simplificada de SPN

Desventajas

  • Solo puede ser utilizada en un solo servidor (no puede ser utilizada en clusters o NLBs)

Los requisitos para poder utilizar este tipo de objeto en Active Directory, son los siguientes:

  • Nivel funcional del dominio Windows Server 2008 R2 o superior
  • Sistema operativo soportado Windows Server 2008 R2 o superior
  • Un controlador de dominio con Servicio de Distribución de Llaves (KDSsvc) habilitado
  • Tener el modulo de Active Directory de PowerShell instalado
  • Tener .Net framework 3.5 o superior instalado en el servidor

Con Windows Server 2012, Microsoft introdujo un nuevo tipo de objeto que viene a expandir las funcionalidades de las cuentas de servicio administradas para poder funcionar en más de un servidor a la vez.

Una cuenta de servicio administrada de grupo (gMSA) es un tipo de objeto en Active Directory (tipo msDS-GroupManagedServiceAccount) que tiene las mismas ventajas de una MSA, y por lo contrario, estas si pueden ser utilizadas de manera simultanea en múltiples servidores.


%3CmxGraphModel%3E%3Croot%3E%3CmxCell%20id%3D%220%22%2F%3E%3CmxCell%20id%3D%221%22%20parent%3D%220%22%2F%3E%3CmxCell%20id%3D%222%22%20value%3D%22Cuenta%20de%20servicios%20administrada%20de%20grupo%22%20style%3D%22text%3Bhtml%3D1%3BstrokeColor%3Dnone%3BfillColor%3Dnone%3Balign%3Dcenter%3BverticalAlign%3Dmiddle%3BwhiteSpace%3Dwrap%3Brounded%3D0%3Bdashed%3D1%3BstrokeWidth%3D4%3B%22%20vertex%3D%221%22%20parent%3D%221%22%3E%3CmxGeometry%20x%3D%22132%22%20y%3D%22239%22%20width%3D%22119%22%20height%3D%2230%22%20as%3D%22geometry%22%2F%3E%3C%2FmxCell%3E%3C%2Froot%3E%3C%2FmxGraphModel%3E



Los requisitos para poder utilizar este tipo de objeto en Active Directory, son los siguientes:

  • Nivel funcional del dominio Windows Server 2012 o superior
  • Sistema operativo soportado Windows Server 2012 o superior
  • Un controlador de dominio con Servicio de Distribución de Llaves (KDSsvc) habilitado
  • Tener el modulo de Active Directory de PowerShell instalado
  • Tener .Net framework 3.5 o superior instalado en el servidor


Creando cuentas de servicio administradas

De acuerdo la los requisitos, tanto para las MSAs como para las gMSAs, tenemos que habilitar el servicio de distribución de llaves (KDS). Para ello, debemos abrir PowerShell en nuestro controlador de dominio y ejecutar el siguiente comando como administrador:


Add-KdsRootKey –EffectiveImmediately

Una vez ejecutado el comando, por defecto la llave tarda unas 10 horas en replicarse por todos los controladores de dominio. Podemos agilizar este proceso (recomendado para entornos de laboratorio), ejecutando el siguiente comando:

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

Ahora que tenemos el KDS configurado, podemos crear una cuenta gMSA utilizando el siguiente comando de ejemplo:


New-ADServiceAccount -Name WebSrvgMSA -PrincipalsAllowedToRetrieveManagedPassword WEBSRV1, WEBSRV2, WEBSRV3

En cambio, si quisiéramos crear una MSA, tendríamos que utilizar el siguiente comando:


$getWebSrv = Get-ADComputer -identity WEBSRV1Add-ADComputerServiceAccount -Identity $getWebSrv -ServiceAccount WebSrvMSA


Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

¿Qué es un tenant o inquilino en Azure?

Iniciaremos este blog explicando qué es un tenant en Azure Active Directory, para qué se utiliza y cómo podemos crearlos. En definición, un tenant o inquilino (nombre traducido al español), es la instancia dedicada de Microsoft  Azure Active Directory que adquiere una organización al momento de darse de alta en Microsoft Azure, Microsoft 365 o Microsoft Intune. Los tenants constan de un dominio único, el cual se emplea para la administración de identidades (usuarios, grupos y dispositivos) y registro de aplicaciones que usen la plataforma de identidades de Microsoft. Requisitos para obtener un tenant El único requisito que se debe tener en cuenta para la creación de un tenant es tener una cuenta con una suscripción activa de Microsoft Azure. Si quieres saber como crear una suscripción de Microsoft Azure, debajo te dejo un enlace en donde lo explico de una manera breve 🙂 Crear una suscripción en Azure Tenants y tipos de entorno Existen dos tipos de entornos en los que podemos ...
Publicar un comentario
Read more »

Como unir un equipo Windows a un dominio de Active Directory

¡Hola a todos! En este articulo explicaré brevemente las distintas maneras que tenemos disponibles para unir un equipo con Windows 10/11 o Windows Server 2022 / 2019 / 2016 a un dominio de Active Directory. Antes de iniciar con la configuración, es indispensable tener en cuenta los siguientes requisitos: El equipo debe estar conectado a la red, debe poder tener comunicación con al menos uno de los servidores de dominio de Active Directory y poder resolver via DNS el nombre del dominio existente. Para este ejemplo estaremos uniendo el equipo al dominio " noble.com "; Por lo tanto, podemos probar haciendo un ping al dominio desde una cmd. Si el sistema operativo del equipo es Windows 10/11, debemos asegurarnos que la edición sea Professional, Enterprise o Professional para estaciones de trabajo, ya que son las únicas compatibles. Asegurar que el equipo tiene el nombre ( hostname ) correcto antes de unirlo al dominio debido a que AD DS genera un objeto con el nombre que posea el...
Publicar un comentario
Read more »

Instalando Windows Server 2022

En este post explicaré de una manera resumida como instalar Windows Server . Los pasos que se explican en este tutorial se pueden aplicar para las versiones desde  Windows Server 2008 R2 hasta Windows Server 2022 , instalándolo tanto en un equipo físico como en una máquina virtual. Requisitos para la instalación: Pendrive USB / o DVD, con la imagen de Windows Server montada. En caso de utilizar una máquina virtual (Hyper-V, VMware, VirtualBox), puedes montar directamente la imagen .ISO en el hipervisor. Equipo físico (Servidor, ordenador de escritorio o portátil) o máquina virtual, donde será instalado el sistema operativo. El mismo como mínimo debe cumplir con las siguientes especificaciones técnicas: Procesador : procesador de 1.4 bits a 64 GHz, compatible con 64 bits RAM : 512 MB y 2 GB para la opción de instalar Desktop Experience. Red : tarjeta NIC con un ancho de banda mínimo de 1 GBPS HDD : 32GB Instalación de Windows Server 2022 Una vez iniciado el equipo, aparecerá un men...
Publicar un comentario
Read more »