Skip to main content
SnapCenter software
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar gMSA en Windows Server 2016 o posterior

PDF

Windows Server 2016 o posterior le permite crear una cuenta de servicio administrada de grupo (gMSA) que proporciona administración automatizada de contraseñas de cuentas de servicio desde una cuenta de dominio administrada.

Antes de empezar

  • Debe tener un controlador de dominio de Windows Server 2016 o posterior.

  • Debe tener un host de Windows Server 2016 o posterior, que sea miembro del dominio.

Pasos

  1. Cree una clave raíz KDS para generar contraseñas únicas para cada objeto en su gMSA.

  2. Para cada dominio, ejecute el siguiente comando desde el controlador de dominio de Windows: Add-KDSRootKey -EffectiveImmediately

  3. Cree y configure su gMSA:

    1. Cree una cuenta de grupo de usuarios con el siguiente formato:

       domainName\accountName$
.. Añade objetos de computadora al grupo.
.. Utilice el grupo de usuarios que acaba de crear para crear el gMSA.

      Por ejemplo,

       New-ADServiceAccount -name <ServiceAccountName> -DNSHostName <fqdn> -PrincipalsAllowedToRetrieveManagedPassword <group> -ServicePrincipalNames <SPN1,SPN2,…>
.. Correr `Get-ADServiceAccount` Comando para verificar la cuenta de servicio.

  4. Configure el gMSA en sus hosts:

    1. Habilite el módulo Active Directory para Windows PowerShell en el host donde desea utilizar la cuenta gMSA.

      Para hacer esto, ejecute el siguiente comando desde PowerShell:

    PS C:\> Get-WindowsFeature AD-Domain-Services

Display Name                           Name                Install State
------------                           ----                -------------
[ ] Active Directory Domain Services   AD-Domain-Services  Available


PS C:\> Install-WindowsFeature AD-DOMAIN-SERVICES

Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Active Directory Domain Services, Active ...
WARNING: Windows automatic updating is not enabled. To ensure that your newly-installed role or feature is
automatically updated, turn on Windows Update.

    1. Reinicie su host.

    2. Instale gMSA en su host ejecutando el siguiente comando desde el símbolo del sistema de PowerShell: Install-AdServiceAccount <gMSA>

    3. Verifique su cuenta gMSA ejecutando el siguiente comando: Test-AdServiceAccount <gMSA>

  5. Asigne los privilegios administrativos al gMSA configurado en el host.

  6. Agregue el host de Windows especificando la cuenta gMSA configurada en el servidor SnapCenter .

    SnapCenter Server instalará los complementos seleccionados en el host y la gMSA especificada se utilizará como cuenta de inicio de sesión de servicio durante la instalación del complemento.