Crea una cuenta de servicio administrada de grupo

En este tema, se muestra cómo crear una cuenta de servicio administrada de grupo (gMSA) en el servicio administrado para Microsoft Active Directory. Debes seguir estas instrucciones estándar para configurar la cuenta y, además, incorporar las siguientes consideraciones especiales para Microsoft AD administrado.

No crees una clave raíz de KDS

Por lo general, la primera vez que creas un gMSA en un dominio, debes generar una clave raíz del servicio de distribución de claves (KDS). Microsoft AD administrado genera una clave raíz de KDS por ti cuando creas el dominio, por lo que puedes omitir ese paso desde las instrucciones estándar.

Cómo ver la clave raíz de KDS

Antes de comenzar, asegúrate de que la herramienta de sitios y servicios de Active Directory se instale desde las Herramientas de administración remota del servidor (RSAT).

Para ver la clave raíz de KDS, completa los siguientes pasos:

  1. En Windows, inicia la herramienta de sitios y servicios de Active Directory. Para iniciar esta herramienta, puedes abrir el cuadro de diálogo del comando Ejecutar y, luego, ingresar dssite.msc.
  2. En la herramienta sitios y servicios de Active Directory, selecciona la pestaña Ver.
  3. En el menú Ver, selecciona Mostrar nodo de servicios.
  4. En el panel izquierdo, seleccione Servicios > Servicio de distribución de claves de grupo > Claves raíz principales.
  5. En el panel derecho, se muestra una lista de claves de tu dominio. Selecciona una clave para ver sus detalles.

Ten en cuenta que ejecutar el cmdlet de PowerShell Get-KdsRootKey muestra una respuesta vacía aunque exista una clave raíz de KDS válida. Solo puedes ver la clave cuando ejecutas el cmdlet Get-KdsRootKey como administrador de dominio.

Crea una cuenta en el contenedor Managed Service Accounts

Para un dominio de Microsoft AD administrado, se deben crear gMSAs nuevos en el contenedor Managed Service Accounts. Según la configuración predeterminada, el cmdlet New-ADServiceAccount crea nuevos gMSA en esta ubicación. Para obtener más información, consulta el cmd de New-ADServiceAccount.

Delega la administración de Managed Service Accounts

Para delegar la administración del contenedor Managed Service Accounts a un usuario, agrégalo al grupo Cloud Service Managed Service Account Administrators. Para obtener más información sobre los grupos que Microsoft AD administrado crea para ti, consulta Grupos.