Configuración de cuentas de servicio administradas delegadas

• Se aplica a:

  ✅ Windows Server 2025

Una cuenta de servicio administrada delegada (dMSA) es una cuenta de Active Directory (AD) que permite administrar de forma segura y eficiente las credenciales. A diferencia de las cuentas de servicio tradicionales, con las dMSA no se necesita administrar manualmente las contraseñas, ya que AD se encarga de ello automáticamente. Con dMSA, se pueden delegar permisos específicos para acceder a los recursos del dominio, lo que reduce los riesgos de seguridad y da una mejor visibilidad y mejores registros de actividad de la cuenta de servicio.

Actualmente, la configuración de una dMSA solo está disponible en dispositivos con Windows Server 2025. DMSA es un modelo más seguro y gestionable para la administración de cuentas de servicio en comparación con las cuentas de servicio tradicionales. Al migrar servicios críticos a dMSA, las organizaciones pueden garantizar que estos servicios se administran de forma segura y compatible. DMSA aporta un mayor nivel de seguridad al ofrecer contraseñas únicas y rotadas con frecuencia, lo que reduce la probabilidad de accesos no autorizados y mejora la seguridad en general.

Requisitos previos

• El rol Servicios de dominio de Active Directory debe instalarse en el dispositivo o en cualquier dispositivo si usa herramientas de administración remota. Para obtener más información, consulte Instalación o desinstalación de roles, servicios de rol o características.
• Una vez instalado el rol, el dispositivo debe promoverse a un controlador de dominio (DC). En Administrador del servidor, el icono de marca muestra una nueva notificación, seleccione Promover este servidor a un controlador de dominio y, a continuación, complete los pasos necesarios.
• La clave raíz KDS debe generarse en el controlador de dominio antes de crear o migrar una dMSA. Ejecute Get-KdsRootKey en PowerShell para comprobar si la clave está disponible. Si la clave no está disponible, se puede agregar ejecutando Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10)).

Nota:

Para usar dMSA como una cuenta de servicio administrada independiente (MSA) o para reemplazar una cuenta de servicio heredada, es necesario ejecutar el siguiente comando en el dispositivo cliente:

$params = @{
 Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
 Name = "DelegatedMSAEnabled"
 Value = 1
 Type = "DWORD"
}
Set-ItemProperty @params

Creación de una dMSA independiente

Las instrucciones siguientes permiten a los usuarios crear una nueva dMSA sin migrar de una cuenta de servicio tradicional.

1. Abra una sesión en PowerShell con derechos de administrador y ejecute lo siguiente:

   $params = @{
    Name = "ServiceAccountName"
    DNSHostName = "DNSHostName"
    CreateDelegatedServiceAccount = $true
    KerberosEncryptionType = "AES256"
   }
   New-ADServiceAccount @params
   

2. Otorgue permiso al dispositivo específico para recuperar la contraseña de la cuenta de servicio en AD:

   $params = @{
    Identity = "DMSA Name"
    PrincipalsAllowedToRetrieveManagedPassword = "Machine$"
   }
   Set-ADServiceAccount @params
   

3. El valor de propiedad msDS-DelegatedMSAState para la dMSA debe ser 3. Para ver el valor actual de la propiedad, ejecute:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = "msDS-DelegatedMSAState"
   }
   Get-ADServiceAccount @params
   

   Para poner este valor a 3, ejecute:

   $params = @{
    Identity = "dMSAsnmp"
    Properties = @{
     "msDS-DelegatedMSAState" = 3
    }
   }
   Set-ADServiceAccount @params
   

Migración a una dMSA

Para migrar una cuenta de servicio a una dMSA, siga estos pasos:

1. Cree una dMSA, tal como se describe en Creación de una dMSA independiente.

2. Inicie la migración de cuenta a una dMSA:

   $params = @{
    Identity = "<DMSAName>"
    SupersededAccount = "<DN of service account>"
   }
   Start-ADServiceAccountMigration @params
   

3. Si la cuenta de servicio que se va a migrar a una dMSA tiene acceso a varios servidores, primero se debe aplicar una directiva del registro para asegurarse de que tiene como valor predeterminado el controlador de dominio. Una vez que inicie sesión con dMSA, ejecute:

   $params = @{
    Path = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
    Name = "DelegatedMSAEnabled"
    Value = "1"
    PropertyType = "DWORD"
    Force = $true
   }
   New-ItemProperty @params
   

4. Una vez que se hayan aplicado los cambios en el registro y se haya vinculado la cuenta, reinicie los servicios en ejecución de la cuenta ejecutando:

   Get-Service | Where-Object {$_.Status -eq "Running"} | Restart-Service
   

Nota:

En caso de que la cuenta de servicio esté conectada a varios dispositivos y haya finalizado la migración, es necesario actualizar manualmente la propiedad PrincipalsAllowedToRetrieveManagedPassword.

Completar la migración de la cuenta

Advertencia

Al finalizar la migración, nunca elimine la cuenta de servicio original en caso de que tenga que volver a ella después de la migración, ya que esto provoca varios problemas.

Para completar la migración de la cuenta, las cuentas de servicio tradicionales deben deshabilitarse para asegurarse de que todos los servicios usen dMSA.

Para deshabilitar la cuenta de servicio tradicional, ejecute el siguiente comando:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Complete-ADServiceAccountMigration @params

Si se migra la cuenta incorrecta, ejecute lo siguiente para deshacer todos los pasos durante la migración:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Undo-ADServiceAccountMigration @params

Para revertir una cuenta de servicio a un estado inactivo o desvinculado, ejecute:

$params = @{
 Identity = "<DMSAName>"
 SupersededAccount = "<DN of service account>"
}
Reset-ADServiceAccountMigration @params

Visualización de registros de eventos de dMSA

Para ver los eventos mediante el Visor de eventos (eventvwr.exe), realice las siguientes acciones:

1. Haga clic con el botón derecho del ratón en Inicio y seleccione Visor de eventos.
2. En el panel izquierdo, expanda Aplicaciones y servicios y vaya a Microsoft\Windows\Security-Kerberos\Operational.
3. El registro de este proveedor está deshabilitado de forma predeterminada; para habilitar el registro, haga clic con el botón derecho en Operativo y seleccione Habilitar registro.

En la siguiente tabla se describen estos eventos capturados.

Id. de evento	Descripción
307	Migración de dMSA - Este evento se escribe tanto para dMSA en migración como para las migradas. Contiene información sobre la cuenta de servicio antigua y la nueva dMSA.
308	Adición de permisos de dMSA - Este evento se registra cuando una máquina intenta añadirse a las entidades de seguridad permitidas para recuperar el campo de contraseña administrada de una dMSA durante la migración.
309	Captura de clave de dMSA - Este evento se registra cuando el cliente Kerberos intenta recuperar las claves para una dMSA desde el controlador de dominio.

Consulte también

• New-ADServiceAccount
• Complete-ADServiceAccountMigration
• Reset-ADServiceAccountMigration
• Start-ADServiceAccountMigration
• Undo-ADServiceAccountMigration