Crear una cuenta de servicio gestionado grupal

En este tema se explica cómo crear una cuenta de servicio gestionado grupal (gMSA) en el servicio gestionado para Microsoft Active Directory. Debes seguir estas instrucciones estándar para configurar la cuenta e incorporar las siguientes consideraciones especiales para Managed Microsoft AD.

No crear clave raíz de KDS

Normalmente, la primera vez que creas una gMSA en un dominio, debes generar una clave raíz del servicio de distribución de claves (KDS). Managed Microsoft AD genera una clave raíz de KDS cuando creas el dominio, por lo que puedes omitir ese paso de las instrucciones estándar.

Ver la clave raíz de KDS

Antes de empezar, asegúrate de que la herramienta Sitios y servicios de Active Directory esté instalada desde Herramientas de administración remota del servidor (RSAT).

Para ver la clave raíz de KDS, sigue estos pasos:

  1. En Windows, inicia la herramienta Sitios y servicios de Active Directory. Para iniciar esta herramienta, puedes abrir el cuadro de diálogo del comando Ejecutar y, a continuación, escribir dssite.msc.
  2. En la herramienta Sitios y servicios de Active Directory, selecciona la pestaña Ver.
  3. En el menú Ver, selecciona Mostrar nodo de servicios.
  4. En el panel de la izquierda, selecciona Servicios > Servicio de distribución de claves de grupo > Claves raíz maestras.
  5. En el panel de la derecha se muestra una lista de claves de tu dominio. Selecciona una clave para ver sus detalles.

Ten en cuenta que, al ejecutar el cmdlet Get-KdsRootKey de PowerShell, se devuelve una respuesta vacía aunque exista una clave raíz de KDS válida. Solo puedes ver la clave cuando ejecutas el cmdlet Get-KdsRootKey como administrador de dominio.

Crear una cuenta en el contenedor Managed Service Accounts

En el caso de los dominios de Microsoft AD gestionados, las nuevas gMSAs deben crearse en el contenedor Managed Service Accounts. De forma predeterminada, el cmdlet New-ADServiceAccount crea nuevos gMSAs en esta ubicación. Para obtener más información, consulta el cmdlet New-ADServiceAccount.

Delegar la administración de Managed Service Accounts

Puedes delegar la administración del contenedor Managed Service Accounts en un usuario añadiéndolo al grupo Cloud Service Managed Service Account Administrators. Para obtener más información sobre los grupos que crea Managed Microsoft AD, consulta Grupos.