Información general de las cuentas de servicio administradas de grupo
Se aplica a: Windows Server 2012 R2, Windows Server 2012
Este tema dirigido a profesionales de TI sirve de introducción a la cuenta de servicio administrada de grupo. En él, se describen las aplicaciones prácticas, los cambios en la implementación de Microsoft, los requisitos de hardware y software y más recursos para Windows Server 2012.
Quizá lo que busca es…
Cuentas de servicio administradas (independientes)
Descripción de la característica
Las cuentas de servicio administradas independientes, que se presentaron en Windows Server 2008 R2 y Windows 7, son cuentas de dominio administradas que proporcionan administración automática de contraseñas y administración simplificada de SPN, lo que incluye la delegación de la administración a otros administradores.
La cuenta de servicio administrada de grupo ofrece la misma funcionalidad dentro del dominio, pero también amplía esa funcionalidad por medio de varios servidores. Al establecer una conexión con un servicio hospedado en una granja de servidores (como el equilibrio de carga de red), los protocolos de autenticación que admiten la autenticación mutua necesitan que todas las instancias de los servicios usen la misma entidad de seguridad. Cuando la cuenta de servicio administrada de grupo se usa como la entidad de seguridad del servicio, el sistema operativo de Windows administra la contraseña de la cuenta en lugar de recurrir al administrador para ello.
El servicio de distribución de claves de Microsoft (kdssvc.dll) proporciona el mecanismo para obtener de manera segura la clave más reciente o una clave específica con un identificador de clave para una cuenta de Active Directory. Este servicio es una novedad de Windows Server 2012 y no funciona en versiones anteriores del sistema operativo de Windows Server. El servicio de distribución de claves comparte un secreto que se usa para crear claves para la cuenta. Estas claves se cambian de forma periódica. El controlador de dominio de Windows Server 2012 procesa la contraseña de una cuenta de servicio administrada de grupo (además de otros atributos) a partir de la clave que el servicio de distribución de claves ha proporcionado. Los hosts miembros de Windows Server 2012 y Windows 8 pueden obtener los valores de contraseña actual y anterior poniéndose en contacto con el controlador de dominio de Windows Server 2012.
Aplicaciones prácticas
Las cuentas de servicio administradas de grupo proporcionan una solución de identidad individual para los servicios que se ejecutan en una granja de servidores o en los sistemas subyacentes del equilibrio de carga de la red. Mediante la entrega de una solución de MSA por grupo, los servicios se pueden configurar para que Windows controle la nueva entidad de seguridad de MSA por grupo y la administración de contraseñas.
Al usar una cuenta de servicio administrada de grupo, los servicios o los administradores de servicios no necesitan administrar la sincronización de contraseñas entre las instancias de servicios. La cuenta de servicio administrada de grupo admite hosts que permanecen sin conexión durante períodos prolongados y, asimismo, la administración de hosts miembros para todas las instancias de un servicio. Esto significa que es posible implementar una granja de servidores que admite una sola identidad con la que pueden autenticarse los equipos cliente actuales sin saber a qué instancia del servicio se conectan.
Los clústeres de conmutación por error no admiten las cuentas de servicio administradas de grupo (gMSA). Sin embargo, los servicios que se ejecutan sobre el Servicio de clúster pueden utilizar una gMSA o una cuenta de servicio administrada independiente (sMSA) si son servicios de Windows, grupos de aplicaciones o tareas programadas, o si admiten gSMA o sMSA de forma nativa.
Funcionalidad nueva y modificada
En la tabla siguiente se señalan los cambios en la característica de MSA.
Característica/funcionalidad |
Windows Server 2008 R2 |
Windows Server 2012 |
|---|---|---|
Cuentas de equipos virtuales |
X |
X |
Cuentas de servicio administradas |
X |
X |
Cuentas de servicio administradas de grupo |
X |
|
Cmdlets de Windows PowerShell |
X |
X |
Para obtener información sobre estos cambios en la funcionalidad de MSA, consulte Novedades de las cuentas de servicio administradas.
Funcionalidad desusada
En Windows Server 2012, las cuentas de servicio administradas de grupo se administran de forma predeterminada con cmdlets de Windows PowerShell, en lugar de las cuentas de servicio administradas independientes originales.
Requisitos de software
Las cuentas de servicio administradas (y las cuentas de equipo virtual) se aplican tanto a Windows Server 2008 R2 como a Windows Server 2012. Las cuentas de servicio administradas de grupo solamente se pueden configurar y administrar en equipos que ejecutan Windows Server 2012, pero se pueden implementar como una solución de identidad individual en dominios que sigan teniendo algunos controladores de dominio que ejecuten sistemas operativos anteriores a Windows Server 2012. No existen requisitos de nivel funcional de dominio o bosque.
Se necesita una arquitectura de 64 bits para ejecutar los comandos de Windows PowerShell que se usan para administrar cuentas de servicio administradas de grupo.
Una cuenta de servicio administrada depende de los tipos de cifrado compatibles con Kerberos. Cuando un equipo cliente se autentica en un servidor con Kerberos, el controlador de dominio crea un vale de servicio Kerberos protegido con un cifrado que admiten tanto el controlador de dominio como el servidor. El controlador de dominio usa el atributo msDS-SupportedEncryptionTypes de la cuenta para averiguar el cifrado que el servidor admite y, en caso de no haber atributo, da por hecho que el equipo cliente no admite tipos de cifrado de mayor seguridad. Si el host de Windows Server 2012 se configura de forma que no admita RC4, la autenticación nunca se llevará a cabo. Es por esto que el AES siempre se debe configurar expresamente para MSA.
Nota
Desde Windows Server 2008 R2, el DES está deshabilitado de forma predeterminada. Para obtener más información sobre los tipos de cifrado compatibles, consulte Cambios en la autenticación Kerberos.
Las cuentas de servicio administradas de grupo no son aplicables en sistemas operativos de Windows anteriores a Windows Server 2012.
Información sobre el Administrador del servidor
No hay pasos de configuración necesarios para implementar MSA y MSA de grupo mediante el Administrador del servidor o el cmdlet Install-WindowsFeature.
Vea también
En la tabla siguiente se proporcionan vínculos a recursos adicionales relacionados con las cuentas de servicio administradas y las cuentas de servicio administradas de grupo.
Tipo de contenido |
Referencias |
|---|---|
Evaluación del producto |
Novedades de las cuentas de servicio administradas Documentación de cuentas de servicio administradas para Windows 7 y Windows Server 2008 R2 |
Planificación |
No disponible aún |
Implementación |
No disponible aún |
Operaciones |
|
Solucionar problemas |
No disponible aún |
Evaluación |
Introducción a las cuentas de servicio administradas de grupo |
Herramientas y configuración |
Cuentas de servicio administradas en Servicios de dominio de Active Directory |
Recursos de la comunidad |
|
Tecnologías relacionadas |