Ir al contenido principal

Implementar Group Managed Service Accounts



Requerimientos gMSA:
Para usar la característica gMSA, la infraestructura debe cumplir lo siguiente:
·         El nivel del schema de Active Directory debe ser Windows Server 2012
·         Un controlador de dominio Windows Server 2012 (o superior) con el Microsoft Key Distribution Service — este servicio es responsable de la generación de passwords
·         Modulo PowerShell para administrar Active Directory
·         Windows Server 2012/2012 R2 y Windows 8/8.1 pueden utilizer gMSA
·         El servicio que utilizara gMSA tiene que ser compatible con este tipo de cuenta. (Debe estar especificado en la documentación.)

 Iniciar sesión en un Domain controller con Windows Server 2012 o 2012 R2
     Crear un grupo de Active Directory donde colocaremos los objetos “Computers” que tendrán permiso para usar la gMSA (global managed service Account)  que vamos a crear. En nuestro ejemplo creamos el grupo gMSA_group y añadimos como miembro el objeto de active directory correspondiente a nuestro servidor “FS1





2.  
Luego vamos a crear un componente llamado “KDS root key” quien será encargado de administrar los passwords de forma automática para las gMSA. Esto lo hacemos mediante powershell con el siguiente comando. (Abrir el powershell con permisos elevados.)
Comando: Add-KdsRootKey -EffectiveTime

Nota: En teoría hay que dejar que esperar 10 horas a que este componente se replique entre todos los Domain controllers en el bosque de active directory. Por lo tanto deberíamos correr este comando y luego al dia siguiente continuar con los pasos de implementación.

Tip: Para no tener que esperar 10 horas se puede utilizar le siguiente comando.
Comando: Add-KdsRootKey -EffectiveTime ((Get-Date).addhours(-10))
3.      
Chequeamos que efectivamente se ha creado la key con el siguiente comando.
Comando: Get-KDSRootKey


Las key se almacenan en Active Directory las podemos ver abriendo la consola “Active Directory Site and Services” con la vista avanzada tal como muestra la imagen.



 Creamos una gMSA con el siguiente comando.

Comando: New-ADServiceAccount -name gmsa1 -DNSHostName dc.cds.local -PrincipalsAllowedToRetrieveManagedPassword "gMSA_group"

gmsa1 es el nombre de la gMSA que estamos creando
dc.cds.local es el  FQDN del controlador de dominio donde estamos creando la gMSA
gMSA_group es el grupo de servidores que tendrá permisos para utilizar la gMSA


Luego de ejecutado el comando podemos ver en la consola de “Active Directory Users and Computers” bajo el contenedor “Managed Services Accounts” la cuenta creada.



.       Para usar la gMSA en un servidor primero debemos tener disponible en ese servidor el módulo powershell de Active directory.
Iniciamos sesión en nuestro servidor miembro e instalamos el modulo correspondiente con el siguiente comando.
Comando: Add-WindowsFeature RSAT-AD-PowerShell

5       
Instalamos la gMSA en el servidor donde la vamos a utilizar. (Debemos asegurarnos antes que el servidor pertenece al grupo que creamos al principio)
Comando: Install-ADServiceAccount -Identity gmsa1

6..       Podemos ver si quedo la gMSA correctamente intalada con el siguiente comando.
Comando: Test-ADServiceAccount gmsa1
7
8.       Ahora podemos configurar un servicio en nuestro servidor miembro para que corra con la gMSA creada y testeada.


El servicio de más arriba es a modo de ejemplo pero no funciona una gMSA con servicios del sistema operativo. Normalmente lo utilizaremos con servicios que no son los del sistema operativo, en ese caso la cuenta gMSA, que en nuestro ejemplo es gmsa1 deberá tener los permisos correspondientes al igual que una cuenta estándar. Por ejemplo si mi servicio requiere que tenga permisos de administrador local debemos agregar gmsa1 como administrador local para que pueda correr el servicio.


También podemos correr una tarea programada con una cuenta gMSA. La configuración es igual que cuando creamos una tarea programada la única diferencia es que en el usuario vamos a seleccionar la gMSA creada.

Entradas más populares de este blog

Solución de Problemas en la Migración del DataCollector de MMA a Azure ARC

  Síntomas Observados Error al Ejecutar Comandos: Al intentar ejecutar los comandos: Import-Module "C:\ODA\Binaries\bin\Microsoft.PowerShell.Oms.Assessments\Microsoft.PowerShell.Oms.Assessments" .\run.cmd Se obtiene el mensaje de error: "ExecPkg not found. File WindowsServerAssessment.execpkg". Ubicación Incorrecta del Archivo WindowsServerAssessment.execpkg: El archivo necesario se encuentra en una ubicación diferente a la esperada: C:\Packages\Plugins\Microsoft.ServicesHub.WindowsServerAssessment\1.7\bin Falta de Estructura de Carpeta Esperada: La carpeta esperada,  C:\ODA\Packages , no existe en el sistema. Errores Registrados en los Logs: En los registros (logs) del sistema se reporta el error: "Missing Mandatory file OmsAssessment.exe". Pasos para Solucionar los Problemas 1. Desinstalación del Microsoft Monitoring Agent (MMA) y Eliminación de Variables de Entorno Desinstala completamente el MMA asegurándote de eliminar todo el software relacionado. Ve...
Leer más

Implementacion WordPress en Azure

Teniendo una cuenta en Azure, es muy fácil hacer una implementacion de WordPress. Estando el el portal de Azure, seleccionamos crear nuevo recurso y buscamos la palabra WordPress. Nos aparece la opción de crear un recurso WordPress WEB que es el que vamos a probar en este post. Luego de creado el recurso vamos a ver que se crearon los siguientes sub recursos: Un APP Service  y una Base de datos MySQL. Y dentro del APP service la URL para instalar el servicio de WordPress creado. Y esta pronto!!! Ya podes disfrutar de tu sitio de WordPress. Saludos!!!!
Leer más

Probando Git desde cero

 Como parte de un tema fundamental en el área de programación tenemos el uso de la herramienta Git como repositorio de nuestro código, este puede ser compartido , mantiene un histórico y mantiene ramas de versionado. Vamos a darle una mirada. Utilizamos el siguiente tutorial: https://www.atlassian.com/es/git/tutorials/learn-git-with-bitbucket-cloud Lo primero es tener una cuenta en bitbucket e instalar git en nuestro caso en Linux. Me considero novato a nivel de linux y por eso muchos problemas que tuve los voy a ir comentando aquí por si a alguien le sirve. Yo utilice una maquina virtual con Centos en Azure, y la utilice como terminal de prueba, en ese Centos voy a instalar Git y tendré mi repositorio local de código.
Leer más