Crear cuentas de servicio gestionadas Windows Server 2012 R2
Crear una cuenta de servicio gestionada
¿Qué es y para que sirve una cuenta de servicio gestionada?
Para hacernos a la idea del funcionamiento de una cuenta de servicio gestionada podemos pensar en las cuentas de usuario estándar que usamos para iniciar sesión en una máquina, de esta forma podemos acceder a los recursos que estén permitidos para ese usuario. De igual forma cuando un proceso necesita tener conexión con el dominio debe autenticarse por medio de una cuenta, así poder realizar la tarea con los permisos y privilegios necesarios.
Aunque normalmente no se usan para iniciar sesión interactiva estas cuentas deben cumplir los requisitos de seguridad y complejidad de contraseñas que una cuenta de usuario.
Como resumen diremos que una cuenta de servicio gestionada sirve para dar permisos y privilegios a los procesos que necesitan conectar con el dominio.
¿Qué hace falta para crear una cuenta de servicio gestionada?
A continuación especificamos los requisitos y recomendaciones:
- Tener instalado .NET Framework 3.5
- Tener instalado el módulo de PowerShell para Directorio activo.
- Que uno de los controladores del dominio sea Windows Server 2012 o Windows Server 2012 R2.
- Que el nivel funcional del dominio sea Windows Server 2008 R2 o superior.
En caso de que nuestro nivel funcional sea inferior a Windows Server 2008 R2 podremos crear este tipo de cuentas con los siguientes comandos ejecutados desde un Windows Server 2008 R2 o superior:
adprep /forestprep adprep /domainprep
¿Cómo se crea una cuenta de servicio gestionada?
Al crear la cuenta el propio AD generará una contraseña y se la enviará a la máquina correspondiente, como medida de seguridad AD envía esa contraseña cifrada con una Root Key. Solo tendremos que generarla una vez para todas las cuentas que creemos. El comando para generar la Root Key es el siguiente.
Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10))
Por defecto una cuenta de servicio gestionada empieza a ser válida a las 10 horas de ser creada, lo que le indicamos que el tiempo efectivo de esa cuenta es la misma hora en la que escribimos el comando menos 10 horas, para que la cuenta pueda empezar a usarse de inmediato.
Lo siguiente que tenemos que hacer es crear la cuenta, en el siguiente comando indicamos el nombre que queremos que se dé a la cuenta, desde donde queremos que se cree y autorizamos a una máquina del dominio a ver la contraseña de esa cuenta.
New-ADServiceAccount –Name NombreCuenta –DNSHostName NombreDC -PrincipalsAllowedToRetrieveManagedPassword EquipoQueUsaCuenta$
Y por último con este comando permitiremos a la máquina que va a utilizar esa cuenta el poder usarla.
Add-ADComputerServiceAccount –Identity EquipoQueUsaCuenta –ServiceAccount NombreCuenta
Ahora ya la cuenta está creada y lista para usarse. Sólo nos queda ir al proceso correspondiente -> Propiedades -> LogOn y allí introducir el nombre de nuestra cuenta de servicio. Importante vaciar los campos de la contraseña puesto que los rellenará automáticamente después.
Algunas tareas de mantenimiento
Por defecto las contraseñas de las cuentas de servicio gestionadas tienen una caducidad de 30 días, si fuera necesario resetearla antes por cualquier motivo deberíamos usar el siguiente comando:
Reset-ADServiceAccountPassword NombreCuenta
También podemos listar todas las cuentas de servicio gestionadas del dominio con el siguiente comando:
Get-ADServiceAccount -Filter 'Name -like "*"' | FT Name,HostComputers
Autor: David García Violero
Linkedin: https://www.linkedin.com/in/david-garcia-violero-559a08128
Curso: Microsoft MCSE Private Cloud
Centro: Tajamar
Año académico: 2016-2017
Asumo que al igual que se usa «EquipoQueUsaLaCuentadeServicio$» se puede usar «GrupodeCuentasdeEquipoQueUsaraLaCuentadeServicio$.
Es decir podemos usar el nombre del servidor miembro o el nombre de un grupo, donde previamente hemos añadido las cuentas de servidor miembro para así hacer un despliegue en bloque a toda una granja de maquinas.