Autorización de hosts de Hyper-V mediante la atestación de confianza del administrador

• Se aplica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Importante

La atestación de confianza del administrador (modo AD) está en desuso a partir de Windows Server 2019. En entornos en los que la atestación de TPM no es posible, configure la atestación de clave de host. La atestación de clave de host proporciona una garantía similar al modo de AD y es más fácil de configurar.

Para autorizar un host protegido en modo AD:

1. En el dominio de tejido, agregue los hosts de Hyper-V a un grupo de seguridad.
2. En el dominio de HGS, registre el SID del grupo de seguridad con HGS.

Adición del host de Hyper-V a un grupo de seguridad y reinicio del host

1. Cree un grupo de seguridad GLOBAL en el dominio de tejido y agregue hosts de Hyper-V que ejecutarán máquinas virtuales blindadas. Reinicie los hosts para actualizar su pertenencia a grupos.

2. Use Get-ADGroup para obtener el identificador de seguridad (SID) del grupo de seguridad y proporcionarlo al administrador de HGS.

   Get-ADGroup "Guarded Hosts"
   

   

Registro del SID del grupo de seguridad con HGS

1. Obtenga el SID del grupo de seguridad para los hosts protegidos del administrador del tejido y ejecute el siguiente comando para registrar el grupo de seguridad con HGS. Vuelva a ejecutar el comando si es necesario para grupos adicionales. Proporcione un nombre descriptivo para el grupo. No es necesario que coincida con el nombre del grupo de seguridad de Active Directory.

   Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"
   

2. Para comprobar que se agregó el grupo, ejecute Get-HgsAttestationHostGroup.