Crear una Cuenta de Servicio Gestionada gMSA con Powershell
Una cuenta de servicio administrada de grupo (gMSA) es una cuenta de dominio un tanto especial. Su principal beneficio es la administración de forma automatizada del cambio de contraseña. Es el propio sistema operativo el encargado de cambiar la contraseña de la cuenta en lugar de gestionar esta tarea el propio administrador. Esta cuenta corre en un grupo de servidores (cluster de servidores) a diferencia de la MSA que lo hace tan sólo en una máquina.
Beneficios
Funcionalmente es similar a la del resto de cuentas de dominio.
Se utilizar en varios servidores a la vez.
Limita el fallo humano.
Admite el estado sin conexión por un tiempo prolongado.
Cumple con la política de contraseñas del dominio.
Requisitos
Esquema de bosque Windows Server 2012.
Windows Server 2012 o superior (o Windows 8 o superior).
Aquitertura de 64-bit para correr los cmdlets de powershell
.Net Framework 3.5 o superior
Crear e instalar una cuenta gMSA
La cuenta usa el «Key Distribution Service» (introducido en Windows Server 2012). Tenemos que crear una «key distribution services root key» antes de crear la cuenta. Para usarlo tendríamos que ejecutar el siguiente comando.
Add-KdsRootKey –EffectiveImmediately
El comportamiento por defecto es esperar 10 horas para crear la cuenta. Pero tenemos un workaround para «engañar» a servicio de KDS haciendole creer que nuestra hora actual es 10 horas antes.
Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
Una vez hecha esta tarea, sería posible crear la cuenta. En nuestro caso gMSAWEB
New-ADServiceAccount -Name gMSAWEB -DNSHostName LON-DC.adatum.com -PrincipalsAllowedToRetrieveManagedPassword "CN=LON-DC,OU=Domain Controllers,DC=adatum,DC=com”,”CN=LON-WEB1,OU=WEB,DC=adatum,DC=com”,”CN=LON-WEB2,OU=WEB,DC=adatum,DC=com" -ManagedPasswordIntervalInDays 20
Opción 2:
New-ADServiceAccount -Name gMSAWEB -DNSHostName LON-DC.adatum.com -PrincipalsAllowedToRetrieveManagedPassword LON-DC$,LON-WEB1$,LON-WEB2$ -ManagedPasswordIntervalInDays 20
Instalar la cuenta de servicio
Install-ADServiceAccount -Identity gMSAWEB$
Otros comandos vistos.
Instalar el módulo de Active Directory de PWS
Install-WindowsFeature RSAT-AD-PowerShell
Instalar la cuenta en otro servidor.
Add-ADComputerServiceAccount -Identity LON-WEB2 -ServiceAccount gMSAWEB$
Ver todas las cuenta de servicio y sus propiedades
Get-AdServiceAccount -Filter * -Properties *
Eliminar la cuenta de servicio.
Remove-AdServiceAccount -identity gMSAWEB
Si quieres agregarme a linkedin te facilito la url de mi perfil:
Autor/a: José Javier Orejana Jurado
Curso: Microsoft MCSA Windows Server 2016 + Azure + AWS
Centro: Tajamar
Año académico: 2019-2020