Grupos de Cuentas de Servicios Administradas

En Windows Server 2008 R2 fue el primer sistema donde se podian crear cuentas de servicio administradas, pero presentaban algunos problemas.

  • Servicios de Cluster y Balanceo de Carga no estában soportados ya que las cuentas solo se podian utilizar en un equipo.

En Windows Server 2012 tenemos la posibilidad de solucionar esto utilizando los grupos de cuentas de servicio administrado. Con los grupos de cuentas de servicio administradas (gMSA) los servicios que corren en multiples equipos están soportados.

Para necesitamos:

  • Esquema de Active Directory en Windows Server 2012 en los bosques que contiene gMSAs
  • 1 o más Windows Server 2012 DCs para proporcionar recuperación y cambio de la contraseña
  • Sólo los servicios que se ejecutan en Windows 8 o Windows Server 2012 pueden usar gMSAs
  • Módulo de Active Directory Powershell Windows Server 2012 para crear cuentas de gMSA

Que conseguimos:

  • gMSAs puede autenticar contra cualquier version de DC
  • Las contraseñas se generan por Group Key Distribution Service (GKDS) que existen en los DCs Windows Server 2012

Los equipos Windows Server 2012 usan gMSAs obteniendo y actualizando las contraseñas de GKDS

  • recuperación de contraseña limitado a equipos autorizados

El intervalo definido en la creación de la cuenta de gMSA (30 días por defecto) de cambio de contraseña

Como MSAs, gMSAs son compatibles sólo con el administrador de Control de servicios de Windows (SCM) y grupos de aplicaciones de IIS.

Pasos a dar:

En el Domain Controller

Abrimos el Modulo de Active Directory de Windows PowerShell

Generamos la nueva clave

AddKdsRootKey –EffectiveTime ((get-date).addhours(-10));

Add-kdsRootKey -EffectiveImmediately

Creamos nuestra cuenta de Servicio

New-ADServiceAccount -Name NLBSrv -DNSHostName LON-DC1.diazantuna.es;

Cuenta creada:


Asociamos la cuenta con los equipos donde vamos a utilizar la cuenta

Add-ADComputerServiceAccount –Identity LON-SVR1 –ServiceAccount NLBSrv

Add-ADComputerServiceAccount –Identity LON-SVR2 –ServiceAccount NLBSrv

Ahora agregamos las cuentas de los equipos para que puedan utilizar la cuenta de Servicio

Set-ADServiceAccount -Identity NLBSrv –PrincipalsAllowedToRetrieveManagedPassword LON-SVR1$, LON-SVR2$

Ahora vamos a cada servidor e instalamos la cuenta administrada

InstallADServiceAccount Identity NLBSrv

Por ultimo asociamos al servicio la cuenta administrada

Debemos de dejar la contraseña en blanco

Leave a Reply

Your email address will not be published.