Crea una cuenta de servicio administrada de grupo

En este tema, se muestra cómo crear una cuenta de servicio administrada de grupo (gMSA) en el servicio administrado para Microsoft Active Directory. Debes seguir estas instrucciones estándar para configurar la cuenta y, además, incorporar las siguientes consideraciones especiales para Microsoft AD administrado.

No crees una clave raíz de KDS

Por lo general, la primera vez que creas un gMSA en un dominio, debes generar una clave raíz del servicio de distribución de claves (KDS). Microsoft AD administrado genera una clave raíz de KDS por ti cuando creas el dominio, por lo que puedes omitir ese paso desde las instrucciones estándar.

Visualiza la clave raíz KDS

Para ver la clave raíz de KDS, completa los siguientes pasos.

Antes de comenzar, asegúrate de que la herramienta de sitios y servicios de Active Directory se instale desde las Herramientas de administración remota del servidor (RSAT).

  1. En Windows, inicia la herramienta de sitios y servicios de Active Directory. Para iniciar esta herramienta, puedes abrir el cuadro de diálogo del comando Ejecutar y, luego, ingresar dssite.msc.
  2. En la herramienta sitios y servicios de Active Directory, selecciona la pestaña Ver.
  3. En el menú Ver, selecciona Mostrar nodo de servicios.
  4. En el panel izquierdo, seleccione Servicios > Servicio de distribución de claves de grupo > Claves raíz principales.
  5. En el panel derecho, se muestra una lista de claves de tu dominio. Selecciona una clave para ver sus detalles.

Ten en cuenta que ejecutar el cmdlet de PowerShell Get-KdsRootKey muestra una respuesta vacía aunque exista una clave raíz de KDS válida. Solo puedes ver la clave cuando ejecutas el cmdlet Get-KdsRootKey como administrador de dominio.

Crea una cuenta en la UO de Managed Service Accounts

Para un dominio de Microsoft AD administrado, se deben crear gMSAs nuevos en la unidad organizacional (UO) Managed Service Accounts. Según la configuración predeterminada, el cmdlet New-ADServiceAccount crea nuevos gMSA en esta ubicación. Más información sobre el cmdlet New-ADServiceAccount

Administración delegada de cuentas de servicios administradas

Para delegar la administración de cuentas de servicio administradas a un usuario, agrégalas al grupo Cloud Service Managed Service Account Administrators. Obtén más información sobre los grupos que Microsoft AD administrado crea para ti.