¿Qué es una cuenta de servicio?
Una cuenta de servicio es una cuenta de usuario especial que una aplicación o servicio utiliza para interactuar con el sistema operativo. Los servicios utilizan las cuentas de servicio para iniciar sesión y realizar cambios en el sistema operativo o en la configuración. A través de los permisos, puedes controlar las acciones que el servicio puede realizar. La siguiente tabla identifica las categorías de cuentas de servicio.
Una cuenta de servicio administrado es un nuevo tipo de cuenta disponible en Windows Server 2008 R2 y Windows 7. Una cuenta de servicio administrado proporciona los mismos beneficios que el uso de una cuenta de usuario de dominio con estas mejoras:
o New-ADServiceAccount crea una cuenta de servicio administrada. De forma predeterminada, las cuentas se crean en el contenedor de cuentas de servicios gestionados en Active Directory (también puede especificar una OU alternativa para las nuevas cuentas).
Cuentas de servicio de Windows view
Este tema para el profesional de TI explica las cuentas de servicio administradas de grupo e independientes, y la cuenta de equipo virtual específica del equipo, y señala recursos sobre estas cuentas de servicio.
Una cuenta de servicio es una cuenta de usuario que se crea explícitamente para proporcionar un contexto de seguridad a los servicios que se ejecutan en los sistemas operativos Windows Server. El contexto de seguridad determina la capacidad del servicio para acceder a los recursos locales y de red. Los sistemas operativos Windows dependen de los servicios para ejecutar diversas funciones. Estos servicios pueden configurarse a través de las aplicaciones, el complemento Servicios o el Administrador de tareas, o mediante Windows PowerShell.
Una cuenta de servicio gestionada está diseñada para aislar cuentas de dominio en aplicaciones cruciales, como Internet Information Services (IIS), y eliminar la necesidad de que un administrador administre manualmente el nombre principal de servicio (SPN) y las credenciales de las cuentas.
Para utilizar cuentas de servicio gestionadas, el servidor en el que está instalada la aplicación o el servicio debe ejecutar al menos Windows Server 2008 R2. Se puede utilizar una cuenta de servicios gestionados para los servicios de un único equipo. Las cuentas de servicios gestionados no se pueden compartir entre varios equipos y no se pueden utilizar en clústeres de servidores en los que un servicio se replica en varios nodos de clúster. Para este escenario, debe utilizar una cuenta de servicio gestionada por grupo. Para obtener más información, consulte Descripción general de las cuentas de servicios gestionados en grupo.
Prácticas recomendadas para las cuentas de servicio de Microsoft
cuenta de servicio tradicional, Microsoft ha introducido las cuentas de servicio administradas y las cuentas de servicio administradas por grupo.Creación y configuración de cuentas de servicioLa cuenta de servicio tradicional es una cuenta de usuario estándar. Por lo tanto, se crea con la consola Usuarios y equipos de Active Directory.Normalmente, con las cuentas de usuario, se especifica la frecuencia con la que se cambia la contraseña. Cuando un usuario inicia sesión
es más vulnerable porque dispone de más tiempo para descifrar una contraseña.Para reducir el riesgo de utilizar cuentas de servicio, debe seguir estas directrices:CREAR UNA CUENTA DE SERVICIOPara configurar un equipo de reenvío para reenviar eventos, realice los siguientes pasos:Una vez creada la cuenta de servicio, puede hacer doble clic en la cuenta de servicio en Active Directory
Directory msDS-ManagedServiceAccount que permite la gestión automática de contraseñas y la gestión de SPN para cuentas de servicio.En lugar de cambiar manualmente la contraseña de la cuenta y la contraseña del servicio o
contraseña. Por defecto, esto ocurre cada 30 días. Una MSA no se puede bloquear y no puede realizar inicios de sesión interactivos.Las MSA ofrecen las siguientes ventajas para simplificar la administración:Las MSA se almacenan en el directorio CN=Managed Service Accounts, DC=<domain>, DC=<com>.
Crear cuenta gmsa
Una cuenta de servicio Microsoft es una cuenta utilizada para ejecutar uno o más servicios o aplicaciones en un entorno Windows. Por ejemplo, Exchange, SharePoint, SQL Server e Internet Information Services (IIS) se ejecutan bajo cuentas de servicio. La cuenta de servicio proporciona el contexto de seguridad para el servicio; en otras palabras, determina a qué recursos locales y de red puede acceder el servicio y qué puede hacer con esos recursos. Las cuentas de servicio pueden existir en estaciones de trabajo, servidores miembros y controladores de dominio (DC).
El primer paso para gestionar eficazmente casi cualquier cosa es obtener un inventario completo y preciso de todas esas cosas. En nuestro caso, es vital identificar todas las cuentas que se están utilizando como cuentas de servicio, comprender exactamente dónde y cómo se están utilizando, y realizar un seguimiento de las métricas clave, como cuándo se cambiaron sus contraseñas por última vez.
Por desgracia, esta tarea es mucho más difícil de lo que podría parecer en un principio. Como se ha señalado anteriormente, las cuentas de servicio de Microsoft pueden existir en estaciones de trabajo, servidores miembros y DC, y hay muchos tipos diferentes de cuentas que se pueden utilizar como cuentas de servicio, incluidas las cuentas de usuario normales. Con las herramientas nativas, hay que ir a cada uno de los diferentes equipos y averiguar cómo se han configurado las aplicaciones y los servicios en ellos. Hacer eso manualmente claramente no es un enfoque factible. Por lo tanto, querrá automatizar el análisis escribiendo un script con el cmdlet de PowerShell Get-ADServiceAccount o utilizando