Crear una Cuenta de Servicio Gestionada gMSA con Powershell

Una cuenta de servicio administrada de grupo (gMSA) es una cuenta de dominio un tanto especial. Su principal beneficio es la administración de forma automatizada del cambio de contraseña. Es el propio sistema operativo el encargado de cambiar la contraseña de la cuenta en lugar de gestionar esta tarea el propio administrador. Esta cuenta corre en un grupo de servidores (cluster de servidores) a diferencia de la MSA que lo hace tan sólo en una máquina.

Beneficios

Funcionalmente es similar a la del resto de cuentas de dominio.

Se utilizar en varios servidores a la vez.

Limita el fallo humano.

Admite el estado sin conexión por un tiempo prolongado.

Cumple con la política de contraseñas del dominio.

Requisitos

Esquema de bosque Windows Server 2012.

Windows Server 2012 o superior (o Windows 8 o superior).

Aquitertura de 64-bit para correr los cmdlets de powershell

.Net Framework 3.5 o superior

Crear e instalar una cuenta gMSA

La cuenta usa el «Key Distribution Service» (introducido en Windows Server 2012). Tenemos que crear una «key distribution services root key» antes de crear la cuenta. Para usarlo tendríamos que ejecutar el siguiente comando.

Add-KdsRootKey –EffectiveImmediately

El comportamiento por defecto es esperar 10 horas para crear la cuenta. Pero tenemos un workaround para «engañar» a servicio de KDS haciendole creer que nuestra hora actual es 10 horas antes. 

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

Una vez hecha esta tarea, sería posible crear la cuenta. En nuestro caso gMSAWEB

New-ADServiceAccount -Name gMSAWEB -DNSHostName LON-DC.adatum.com -PrincipalsAllowedToRetrieveManagedPassword "CN=LON-DC,OU=Domain Controllers,DC=adatum,DC=com”,”CN=LON-WEB1,OU=WEB,DC=adatum,DC=com”,”CN=LON-WEB2,OU=WEB,DC=adatum,DC=com" -ManagedPasswordIntervalInDays 20

Opción 2:

New-ADServiceAccount -Name gMSAWEB -DNSHostName LON-DC.adatum.com -PrincipalsAllowedToRetrieveManagedPassword LON-DC$,LON-WEB1$,LON-WEB2$ -ManagedPasswordIntervalInDays 20

Instalar la cuenta de servicio

Install-ADServiceAccount -Identity gMSAWEB$

Otros comandos vistos.

Instalar el módulo de Active Directory de PWS

Install-WindowsFeature RSAT-AD-PowerShell

Instalar la cuenta en otro servidor.

Add-ADComputerServiceAccount -Identity LON-WEB2 -ServiceAccount gMSAWEB$

Ver todas las cuenta de servicio y sus propiedades

Get-AdServiceAccount -Filter * -Properties *

Eliminar la cuenta de servicio.

Remove-AdServiceAccount -identity gMSAWEB

Si quieres agregarme a linkedin te facilito la url de mi perfil:

José Javier Orejana Jurado

Autor/a: José Javier Orejana Jurado
Curso: Microsoft MCSA Windows Server 2016 + Azure + AWS
Centro: Tajamar
Año académico: 2019-2020

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.