0

Cuenta de servicio administrada de grupo (gMSA) para arrancar Sql Server

¿Qué es una cuenta de servicio administrada de grupo?

Una cuenta de servicio administrada de grupo es un tipo de cuenta de dominio creada y administrada por el controlador de dominio para varios servidores. Windows administra una cuenta de servicio para los servicios que se ejecutan en un grupo de servidores. Active Directory actualiza automáticamente la contraseña de la cuenta de servicio administrada de grupo sin necesidad de reiniciar los servicios.

¿Cómo podemos implementarla?

  1. Antes de crear la cuenta de servicio y solo si no se ha hecho ya, debemos crear una RootKey. Con ella el sistema cifrará la contraseña de la cuenta que vamos a crear.
    En este caso al ejecutarlo en PowerShell le marcamos que la Rootkey tiene 10 horas de creación:
add-kdsrootkey((get-date).addhours(-10)) 

2. Hemos utilizado un grupo de seguridad del Directorio Activo para incluir a todas las maquinas en donde usaremos esta cuenta. Dentro de ese grupo que hemos creado insertamos como miembros a las maquinas:

3. Procedemos a crear la cuenta de servicio a través de PowerShell:

New-ADServiceAccount -name Nombredelacuenta -DNSHostName nombredelacuenta.sicuelES.com -PrincipalsAllowedToRetrieveManagedPassword SQL_servers -ManagedPasswordIntervalInDays 1

Importante: Los días indicados en el intervalo de cambio de contraseña no se podrán cambiar tras la creación de la cuenta.

4. Después solo tenemos que elegir esta nueva cuenta como la elegida para levantar el servicio.  Cabe destacar que al introducir la cuenta de servicio en este paso, el propio sistema te deja elegirla sin poner ningún tipo de contraseña. El administrador de sistema o el dba no dispone de la contraseña y por ese motivo con este tipo de cuenta no se puede loguear ni podría ejecutar un “Run As”

Si has llegado hasta aquí, seguramente quieras implementarlo en todas tus instancias. Por nuestra parte te recomendamos enérgicamente realizarlo como una best practice sobre la administración de contraseñas y cuentas de servicio de SQL Server.

Encuesta:

Deja una respuesta

Tu dirección de correo electrónico no será publicada.