En este tema, se muestra cómo crear una cuenta de servicio administrada de grupo (gMSA) en el servicio administrado para Microsoft Active Directory. Debes seguir estas instrucciones estándar para configurar la cuenta y, además, incorporar las siguientes consideraciones especiales para Microsoft AD administrado.
No crees una clave raíz de KDS
Por lo general, la primera vez que creas un gMSA en un dominio, debes generar una clave raíz del servicio de distribución de claves (KDS). Microsoft AD administrado genera una clave raíz de KDS por ti cuando creas el dominio, por lo que puedes omitir ese paso desde las instrucciones estándar.
Ver la clave raíz de KDS
Antes de comenzar, asegúrate de que la herramienta de sitios y servicios de Active Directory esté instalada desde las Herramientas de administración remota del servidor (RSAT).
Para ver la clave raíz de KDS, completa los siguientes pasos:
- En Windows, inicia la herramienta de sitios y servicios de Active Directory. Para iniciar esta herramienta, puedes abrir el cuadro de diálogo del comando Ejecutar y, luego, ingresar
dssite.msc
. - En la herramienta sitios y servicios de Active Directory, selecciona la pestaña Ver.
- En el menú Ver, selecciona Mostrar nodo de servicios.
- En el panel izquierdo, seleccione Servicios > Servicio de distribución de claves de grupo > Claves raíz principales.
- En el panel derecho, se muestra una lista de claves de tu dominio. Selecciona una clave para ver sus detalles.
Ten en cuenta que ejecutar el cmdlet de PowerShell Get-KdsRootKey
muestra una respuesta vacía aunque exista una clave raíz de KDS válida. Solo puedes ver la clave cuando ejecutas el cmdlet Get-KdsRootKey
como administrador de dominio.
Crear cuenta en el contenedor Managed Service Accounts
Para un dominio de Microsoft AD administrado, se deben crear gMSA nuevas en el contenedor Managed Service Accounts
. Según la configuración predeterminada, el cmdlet New-ADServiceAccount
crea nuevos gMSA en esta ubicación. Para obtener más información, consulta New-ADServiceAccount
cmdlet.
Delegar la administración de Managed Service Accounts
Puedes delegar la administración del contenedor Managed Service Accounts
a un usuario agregándolo al grupo Cloud Service Managed Service Account Administrators
.
Para obtener más información sobre los grupos que Microsoft AD administrado crea para ti, consulta Grupos.