173
La cuenta de servicio administrada (MSA) es un tipo especial de cuenta de administración de dominio en Active Directory que se utiliza para ejecutar tareas, servicios y trabajos en segundo plano con privilegios específicos. Los principales beneficios de las cuentas MSA son la administración automática de contraseñas, la administración simple de SPN y la capacidad de delegar la administración a otros administradores. Los administradores no tienen que crear manualmente credenciales de inicio de sesión ni cambiar contraseñas porque Active Directory se encarga de ello.
Hay varios tipos diferentes de cuentas de servicio disponibles en Active Directory, según la versión del esquema AD:
- Cuenta administrada de servicio (MSA) — es una cuenta de servicio independiente que solo se puede usar en una sola computadora (servidor). Las cuentas MSA tienen una Cuenta de servicio administrada por msDS clase de objeto y disponible a partir del nivel funcional del dominio de Windows Server 2008 R2.
- Cuentas de servicio de administración de grupos (gMSA). Estas cuentas se pueden utilizar en varios servidores simultáneamente y están diseñadas para entornos agrupados. Su clase de objeto es Cuenta de servicio administrada del grupo msDS (disponible en Windows Server 2012+).
- Cuenta de servicio administrada delegada (dMSA) es una nueva clase de cuenta de servicio introducida en Windows Server 2025. Estas cuentas mejoran la seguridad mediante el aprovechamiento de la identidad de la máquina y el uso de Credential Guard.
Las cuentas de servicio de administración se administran únicamente a través de PowerShell. De forma predeterminada, estas cuentas se crean en el CN=Cuentas de servicio administradas contenedor en la raíz del dominio. Microsoft recomienda utilizar la Unidad organizativa para almacenar todas sus cuentas MSA. Puede encontrar todas estas cuentas utilizando el complemento gráfico Usuarios y equipos de Active Directory (dsa.msc).
Cuando usas el Nueva cuenta de servicio AD cmdlet de PowerShell para crear una nueva cuenta MSA/GMSA, la cuenta se crea en esta unidad organizativa (esto requiere Administradores de dominio permisos).
Un administrador puede crear una cuenta MSA en cualquier unidad organizativa especificando su nombre distinguido en el parámetro Ruta. Esto sólo requiere Operadores de cuentas permisos en la unidad organizativa de destino. Por ejemplo:
New-ADServiceAccount -Name gMSA-svc2 -Path "OU=Service,OU=HQ,DC=reslab,DC=loc" -DNSHostName gMSA-svc2.reslab.loc
Utilice el siguiente cmdlet del módulo Active Directory PowerShell para enumerar todas las cuentas MSA y gMSA en un dominio:
Get-ADServiceAccount -Filter *| ft
