Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar GMSA en Windows Server 2012 o posterior

Colaboradores

Windows Server 2012 o posterior le permite crear una cuenta de servicio administrado de grupo (GMSA) que proporciona gestión automatizada de contraseñas de cuenta de servicio desde una cuenta de dominio administrado.

Antes de empezar
  • Debe tener un controlador de dominio de Windows Server 2012 o posterior.

  • Debe tener un host de Windows Server 2012 o posterior, que es miembro del dominio.

Pasos
  1. Cree una clave raíz KDS para generar contraseñas únicas para cada objeto de su GMSA.

  2. Para cada dominio, ejecute el siguiente comando desde el controlador de dominio de Windows: Add-KDSRootKey -EffectiveImmediately

  3. Crear y configurar su GMSA:

    1. Cree una cuenta de grupo de usuarios con el siguiente formato:

       domainName\accountName$
      .. Agregar objetos de equipo al grupo.
      .. Utilice el grupo de usuarios que acaba de crear para crear el GMSA.

      Por ejemplo:

       New-ADServiceAccount -name <ServiceAccountName> -DNSHostName <fqdn> -PrincipalsAllowedToRetrieveManagedPassword <group> -ServicePrincipalNames <SPN1,SPN2,…>
      .. Ejecución `Get-ADServiceAccount` comando para verificar la cuenta de servicio.
  4. Configure el GMSA en sus hosts:

    1. Active el módulo de Active Directory para Windows PowerShell en el host en el que desea utilizar la cuenta de GMSA.

      Para ello, ejecute el siguiente comando desde PowerShell:

    PS C:\> Get-WindowsFeature AD-Domain-Services
    
    Display Name                           Name                Install State
    ------------                           ----                -------------
    [ ] Active Directory Domain Services   AD-Domain-Services  Available
    
    
    PS C:\> Install-WindowsFeature AD-DOMAIN-SERVICES
    
    Success Restart Needed Exit Code      Feature Result
    ------- -------------- ---------      --------------
    True    No             Success        {Active Directory Domain Services, Active ...
    WARNING: Windows automatic updating is not enabled. To ensure that your newly-installed role or feature is
    automatically updated, turn on Windows Update.
    1. Reinicie el host.

    2. Instale el GMSA en su host ejecutando el siguiente comando desde el símbolo del sistema de PowerShell: Install-AdServiceAccount <gMSA>

    3. Verifique su cuenta de GMSA ejecutando el siguiente comando: Test-AdServiceAccount <gMSA>

  5. Asigne los privilegios administrativos al GMSA configurado en el host.

  6. Agregue el host de Windows especificando la cuenta GMSA configurada en el servidor SnapCenter.

    El servidor SnapCenter instalará los plugins seleccionados en el host y el GMSA especificado se utilizará como cuenta de registro de servicio durante la instalación del plugin.