Cuenta de servicio administrada por grupo (gMSA)

La Cuenta de Servicio Administrada por Grupo (gMSA) es en muchos aspectos similar a las Cuentas de Servicio Administradas. Tiene gestión automática de contraseñas, una contraseña larga que se actualiza automáticamente de forma periódica. La diferencia entre las Cuentas de Servicio Administradas y gMSA es que múltiples máquinas pueden usar la misma cuenta. Por lo tanto, si está ejecutando un servicio en una granja de servidores y desea usar Autenticación Integrada, debe usar gMSA. Cuando el cliente solicita un ticket Kerberos para acceder al servicio, no importa qué instancia en la granja de servidores procese la solicitud.

Para que gMSA funcione en el Active Directory, y como requisito previo para usar gMSA durante la instalación de Gatekeeper, el administrador del dominio tiene que crear la clave raíz del Servicio de Distribución de Claves. Eso se puede hacer iniciando sesión en un controlador de dominio (Windows Server 2012 o posterior) y ejecutando “Add-KdsRootKey -EffectiveImmediately” desde PowerShell que tiene instalado el módulo de Active Directory de Windows PowerShell.

Nota

Aunque se usa la bandera -EffectiveImmediately, puede tomar algún tiempo para que el DC cree la clave raíz de KDS. Se puede usar Get-KdsRootKey para verificar que la clave raíz de KDS ha sido creada.

Más información sobre gMSA: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview

Más información sobre crear clave raíz de KDS: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/create-the-key-distribution-services-kds-root-key

Creación de gMSA durante la instalación de Gatekeeper

Los administradores pueden dejar que el proceso de instalación cree el gMSA o el administrador puede elegir un gMSA existente. El asistente de instalación de Gatekeeper configurará los permisos necesarios para que la máquina donde se instala Gatekeeper tenga permitido usar la cuenta gMSA. Si la cuenta gMSA se crea durante la instalación, el servidor que está instalando Gatekeeper debe reiniciarse para obtener los tokens necesarios para acceder a la cuenta gMSA. El proceso de reinicio debe ser fluido y reabrir el asistente de instalación al iniciar sesión, lo que debería continuar desde antes del reinicio.