Configurar GMSA en Windows Server 2012 o posterior
Windows Server 2012 o posterior le permite crear una cuenta de servicio administrado de grupo (GMSA) que proporciona gestión automatizada de contraseñas de cuenta de servicio desde una cuenta de dominio administrado.
-
Debe tener un controlador de dominio de Windows Server 2012 o posterior.
-
Debe tener un host de Windows Server 2012 o posterior, que es miembro del dominio.
-
Cree una clave raíz KDS para generar contraseñas únicas para cada objeto de su GMSA.
-
Para cada dominio, ejecute el siguiente comando desde el controlador de dominio de Windows: Add-KDSRootKey -EffectiveImmediately
-
Crear y configurar su GMSA:
-
Cree una cuenta de grupo de usuarios con el siguiente formato:
domainName\accountName$ .. Agregar objetos de equipo al grupo. .. Utilice el grupo de usuarios que acaba de crear para crear el GMSA.
Por ejemplo:
New-ADServiceAccount -name <ServiceAccountName> -DNSHostName <fqdn> -PrincipalsAllowedToRetrieveManagedPassword <group> -ServicePrincipalNames <SPN1,SPN2,…> .. Ejecutar `Get-ADServiceAccount` comando para verificar la cuenta de servicio.
-
-
Configure el GMSA en sus hosts:
-
Active el módulo de Active Directory para Windows PowerShell en el host en el que desea utilizar la cuenta de GMSA.
Para ello, ejecute el siguiente comando desde PowerShell:
PS C:\> Get-WindowsFeature AD-Domain-Services Display Name Name Install State ------------ ---- ------------- [ ] Active Directory Domain Services AD-Domain-Services Available PS C:\> Install-WindowsFeature AD-DOMAIN-SERVICES Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Active Directory Domain Services, Active ... WARNING: Windows automatic updating is not enabled. To ensure that your newly-installed role or feature is automatically updated, turn on Windows Update.
-
Reinicie el host.
-
Instale gMSA en su host ejecutando el siguiente comando desde el símbolo del sistema de PowerShell:
Install-AdServiceAccount <gMSA>
-
Verifique su cuenta de gMSA ejecutando el siguiente comando:
Test-AdServiceAccount <gMSA>
-
-
Asigne los privilegios administrativos al GMSA configurado en el host.
-
Agregue el host de Windows especificando la cuenta GMSA configurada en el servidor SnapCenter.
El servidor SnapCenter instalará los plugins seleccionados en el host y el GMSA especificado se utilizará como cuenta de registro de servicio durante la instalación del plugin.