Group Managed Service Accounts Overview
Este artículo para profesionales de TI sirve de introducción a la cuenta de servicio administrada de grupo (gMSA). En él, se describen las aplicaciones prácticas, los cambios en la implementación de Microsoft, los requisitos de hardware y software.
Descripción de la característica
Una cuenta de servicio administrada independiente (sMSA) es una cuenta de dominio administrada que proporciona administración automática de contraseñas, administración simplificada de nombres de entidad de servicio (SPN) y la posibilidad de delegar la administración a otros administradores. Los administradores de dominios pueden delegar la administración de servicios a los administradores de servicios, que pueden administrar todo el ciclo de vida de una cuenta de servicio administrada o una cuenta de servicio administrada por grupo. Los equipos cliente actuales podrán autenticarse con cualquier servicio sin saber con qué instancia de servicio se autentican. Este tipo de cuenta de servicio administrada (MSA) se introdujo en Windows Server 2008 R2 y Windows 7.
La cuenta de servicio administrada de grupo (gMSA) ofrece la misma funcionalidad dentro del dominio y también amplía esa funcionalidad por medio de varios servidores. Esto minimiza la sobrecarga administrativa de una cuenta de servicio, ya que permite que Windows controle la administración de contraseñas para estas cuentas. Al establecer una conexión con un servicio hospedado en una granja de servidores (como una solución de equilibrio de carga de red), los protocolos de autenticación que admiten la autenticación mutua necesitan que todas las instancias de los servicios usen la misma entidad de seguridad. Cuando una gMSA se usa como una entidad de seguridad de servicio, el sistema operativo de Windows administra la contraseña de la cuenta en lugar de recurrir al administrador para ello.
El servicio de distribución de claves de Microsoft (kdssvc.dll
) le permite obtener de manera segura la clave más reciente o una clave específica con un identificador de clave para una cuenta de Active Directory. El servicio de distribución de claves comparte un secreto que se usa para crear claves para la cuenta. Estas claves cambian periódicamente. Para una gMSA, el controlador de dominio calcula la contraseña en la clave que proporciona los Servicios de Distribución de Claves proporcionan, junto con otros atributos de la gMSA. Los hosts miembros pueden obtener los valores de la contraseña actual y anterior poniéndose en contacto con el controlador de dominio.
Aplicaciones prácticas
Las gMSA proporcionan una solución de identidad individual para los servicios que se ejecutan en una granja de servidores o en los sistemas subyacentes del equilibrio de carga de la red. Al proporcionar una solución de gMSA, puede configurar servicios para la nueva entidad de seguridad de gMSA mientras Windows controla la administración de contraseñas.
Cuando los servicios o administradores de servicios usan una gMSA, no necesitan administrar la sincronización de contraseñas entre instancias de servicio. La gMSA admite hosts que permanecen sin conexión durante períodos prolongados y administra los hosts miembros para todas las instancias de un servicio. Puede implementar una granja de servidores que admita una sola identidad que los equipos cliente existentes puedan autenticar sin tener que saber a qué instancia de servicio se están conectando.
Aunque los clústeres de conmutación por error no proporcionan compatibilidad con gMSA, los servicios que operan en el servicio de clúster pueden usar una gMSA o sMSA si son un servicio de Windows, un grupo de aplicaciones, una tarea programada o admiten de forma nativa gMSA o sMSA.
Requisitos de software
Para ejecutar los comandos de Windows PowerShell que necesita para administrar gMSA, debe tener una arquitectura de 64 bits.
Una cuenta de servicio administrada depende de los tipos de cifrado admitidos por Kerberos. Cuando un equipo cliente se autentica en un servidor con Kerberos, el controlador de dominio crea un vale de servicio Kerberos protegido con un cifrado que admiten tanto el controlador de dominio como el servidor. El controlador de dominio usa el atributo msDS-SupportedEncryptionTypes de la cuenta para determinar qué cifrado admite el servidor. Si no hay ningún atributo, el controlador de dominio trata al equipo cliente como si no admitiera tipos de cifrado más seguros. Si ha configurado el host para que no admita RC4, siempre se produce un error en la autenticación. Por este motivo, siempre debe configurar AES para MSA.
Nota
A partir de Windows Server 2008 R2, el DES está deshabilitado de forma predeterminada. Para obtener más información sobre los tipos de cifrado compatibles, consulte Cambios en la autenticación Kerberos.
Nota:
Las gMSA no son aplicables a los sistemas operativos Windows anteriores a Windows Server 2012. Para Windows Server 2012, de manera predeterminada, los cmdlets de Windows PowerShell administran las gMSA en lugar de las cuentas de servicio administradas de servidores.
Información sobre el Administrador del servidor
No es necesario realizar ninguna configuración adicional para implementar MSA y gMSA mediante el Administrador del servidor o el cmdlet Install-WindowsFeature
.
Pasos siguientes
Estos son algunos otros recursos que puede leer para obtener más información sobre las cuentas de servicio administradas:
- Documentación de cuentas de servicio administradas para Windows 7 y Windows Server 2008 R2
- Guía paso a paso de las cuentas de servicio
- Cuentas de servicio administradas en Active Directory
- Introducción a las cuentas de servicio administradas de grupo
- Cuentas de servicio administradas en Active Directory Domain Services
- Cuentas de servicio administradas: Comprensión, implementación, procedimientos recomendados y solución de problemas
- Introducción a Active Directory Domain Services