Este tutorial sólo muestra el procedimiento general. Dependiendo de la estructura de la empresa, debe planificarse de antemano un concepto de autorización adecuado. Cuestiones importantes que deben aclararse de antemano:

• ¿Cómo deben asignarse las autorizaciones (autorizaciones de grupo, autorizaciones individuales)?
• ¿Cómo estructuramos nuestras cuentas gMSA (por servidor, por servicio, etc.)?

Crear la clave raíz en el DC:

Add-KdsRootKey -EffectiveImmediately

A continuación, espere 10 horas para asegurarse de que la replicación se ha completado.

En el DC:

New-ADServiceAccount -Name <ACCOUNTNAME> -DNSHostName <ACCOUNTNAME>.<DOMAIN>.<TLD> -PrincipalsAllowedToRetrieveManagedPassword <COMPUTERNAME>$

En el sistema de destino:

Test-ADServiceAccount <ACCOUNTNAME>

Si tiene éxito, la consola informa Verdadero

Puede ser necesario activar las herramientas RSAT. Declaración de Microsoft al respecto:

A partir de la actualización de Windows 10 de octubre de 2018, RSAT se incluye como una colección de características bajo demanda en el propio Windows 10. En lugar de descargar un paquete RSAT, ahora puede simplemente navegar a Administrar características opcionales en Configuración y hacer clic en Agregar característica para ver la lista de herramientas RSAT disponibles. Seleccione las herramientas RSAT deseadas e instálelas. Para ver el progreso de la instalación, haga clic en el botón Atrás para ver el estado en la página Administrar características opcionales.

^{https://learn.microsoft.com/de-de/windows-server/remote/remote-server-administration-tools}

Si se activan las herramientas RSAT, se debe importar el módulo ActiveDirectory:

import-module ActiveDirectory

Ahora se pueden asignar las autorizaciones según sea necesario. Ya sea asignando un grupo de seguridad en AD, o como administrador local en el sistema de destino.

Ahora se pueden proporcionar servicios con este usuario. Para ello, basta con abrir la consola de servicios y abrir las propiedades del servicio correspondiente:

• Iniciar sesión Abrir pestaña
• Seleccione Esta cuenta
• <ACCOUNTNAME> del dominio
• Contraseña Campos vacíos
• Confirmar diálogo

Para ejecutar una tarea en el contexto de la cuenta gMSA, esta tarea debe personalizarse utilizando la línea de comandos

schtasks /Change /TN "<AUFGABENNAME>" /RU "<DOMAIN>.<TLD>\<ACCOUNTNAME>$" /RP ""

Puede ser necesario conceder a la cuenta el derecho a iniciar sesión como tarea de procesamiento por lotes:

Se requiere PowerShell 7

PS C:\Users\PSY> $creds = Get-Credential
 
PowerShell credential request
Enter your credentials.
User: DOMAIN\PSY
Password for user DOMAIN\PSY: *****************
 
PS C:\Users\PSY> Set-Service -name "Service" -Credential $creds

Al eliminar una cuenta gMSA, es importante que también se eliminen las asignaciones y autorizaciones. Para ello, proceda del siguiente modo:

• Comprobar asignación de host
• Cancelar asignación
• Comprobar la pertenencia a un grupo
• Borrar pertenencia a grupo
• Borrar cuenta gMSA de AD

Get-ADServiceAccount -Identity <ACCOUNTNAME> -Properties PrincipalsAllowedToRetrieveManagedPassword

Set-ADServiceAccount <ACCOUNTNAME> -PrincipalsAllowedToRetrieveManagedPassword $NULL -PassThru
Test-ADServiceAccount <ACCOUNTNAME>$

$ADGroup = (Get-ADServiceAccount -Identity <ACCOUNTNAME>$ -Properties MemberOf).MemberOf
$ADGroup | Get-ADGroup | Select-Object Name

Remove-ADPrincipalGroupMembership <ACCOUNTNAME>$ -MemberOf $ADGroup

Remove-ADServiceAccount -Identity <ACCOUNTNAME>
Get-ADServiceAccount -Identity <ACCOUNTNAME>

Fuentes:

• https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/
• https://www.der-windows-papst.de/2022/03/11/uninstall-group-managed-service-account/