Este tutorial sólo muestra el procedimiento general. Dependiendo de la estructura de la empresa, debe planificarse de antemano un concepto de autorización adecuado. Cuestiones importantes que deben aclararse de antemano:

• ¿Cómo deben asignarse las autorizaciones (autorizaciones de grupo, autorizaciones individuales)?
• ¿Cómo estructuramos nuestras cuentas gMSA (por servidor, por servicio, etc.)?

Crear la clave raíz en el DC:

Add-KdsRootKey -EffectiveImmediately

A continuación, espere 10 horas para asegurarse de que la replicación se ha completado.

En el DC:

New-ADServiceAccount -Name <ACCOUNTNAME> -DNSHostName <ACCOUNTNAME>.<DOMAIN>.<TLD> -PrincipalsAllowedToRetrieveManagedPassword <COMPUTERNAME>$

En el sistema de destino:

Test-ADServiceAccount <ACCOUNTNAME>

Si tiene éxito, la consola informa Verdadero

Puede ser necesario activar las herramientas RSAT. Declaración de Microsoft al respecto:

A partir de la Actualización de Windows 10 de octubre de 2018, RSAT se incluye como una colección de características bajo demanda en el propio Windows 10. En lugar de descargar un paquete RSAT, ahora puede simplemente navegar a Administrar características opcionales en Configuración y hacer clic en Agregar característica para ver la lista de herramientas RSAT disponibles. Seleccione las herramientas RSAT deseadas e instálelas. Para ver el progreso de la instalación, haga clic en el botón Atrás para ver el estado en la página Administrar características opcionales.

^{https://learn.microsoft.com/de-de/windows-server/remote/remote-server-administration-tools}

Si Powershell sigue abierto, también puede iniciar la instalación con este comando:

Install-WindowsFeature -IncludeAllSubFeature RSAT

Tras la instalación, es posible que sea necesario reiniciar y que el módulo ActiveDirectory se importe en PowerShell:

import-module ActiveDirectory

Ahora se pueden asignar las autorizaciones según sea necesario. Ya sea asignando un grupo de seguridad en AD o como administrador local en el sistema de destino. Los conceptos de autorización sólo deben contener las autorizaciones realmente necesarias.

Los servicios pueden iniciarse ahora en este contexto de usuario. Para ello, basta con abrir la consola de servicios y navegar hasta las propiedades del servicio:

• Iniciar sesión Abrir pestaña
• Seleccione Esta cuenta
• <ACCOUNTNAME> del dominio
• Contraseña Campos vacíos
• Confirmar diálogo

Para ejecutar una tarea en el contexto de la cuenta gMSA, esta tarea debe personalizarse utilizando la línea de comandos

schtasks /Change /TN "<AUFGABENNAME>" /RU "<DOMAIN>.<TLD>\<ACCOUNTNAME>$" /RP ""

Es posible que sea necesario conceder a la cuenta el derecho a iniciar sesión como tarea de procesamiento por lotes:

Fuentes:

• https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/