La capacidad de gMSA (Cuentas de servicio administradas por grupo) automatiza la gestión de contraseñas, lo que reduce el esfuerzo manual y mejora la seguridad al manejar la rotación de contraseñas y eliminar la entrada manual.

En el pasado, cuando el instalador solicitaba credenciales de usuario para ejecutar los servicios con la opción gMSA seleccionada, los campos de contraseña estaban deshabilitados porque el sistema operativo gestionaba las credenciales.

Automation 360 ahora admite las cuentas de servicio administradas por grupo (gMSA) para la autenticación de Windows en los servicios de la Control Room. Esta integración permite que estos servicios utilicen gMSA para la autenticación de bases de datos, en consonancia con las prácticas de gestión de identidades empresariales y minimizando la necesidad de configuración manual de credenciales.

Con esta función, ahora puede garantizar la autenticación de Windows sin problemas con gMSA para eliminar la entrada manual de contraseñas y aprovechar la gestión automática de credenciales. Esto elimina el requisito de inicio de sesión interactivo, lo que permite cumplir con los estándares normativos y de seguridad.

Debe seleccionar la opción Usar una cuenta de servicio administrada por grupo para esta autenticación al configurar su Control Room.Pantalla de autenticación de instalación

  1. Inicie sesión como coreadmin usando powershell.
  2. Ejecute los siguientes comandos para crear la cuenta gMSA (gmsa01$) y permitir que las máquinas clientes recuperen su contraseña:
    Get-KdsRootKey
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword EC2AMAZ-0000000$
    Para permitir esta opción en varias máquinas, use el comando:New-ADServiceAccount -Name gmsa01 -DNSHostName server-01.samenterprise.test -PrincipalsAllowedToRetrieveManagedPassword @('EC2AMAZ-0000000
    #39;, 'EC2AMAZ-1111111
    #39;)
  3. Verifique la creación y los permisos de la cuenta gMSA, usando el comando Get-ADServiceAccount -Identity "gmsa01" -Properties *. El resultado debe ser Verdadero.
  4. Asegúrese de que la propiedad PrincipalsAllowedToRetrieveManagedPassword incluya las máquinas clientes requeridas. Ejemplo:
    PrincipalsAllowedToRetrieveManagedPassword : {CN=EC2AMAZ-0000000,CN=Computers,DC=samenterprise,DC=test, CN=EC2AMAZ-1111111,CN=Computers,DC=samenterprise,DC=test}
  5. Verifique si gMSA está instalada correctamente usando el siguiente comando. (El resultado debe ser Verdadero):Test-ADServiceAccount -Identity "gmsa01
    quot;
    Nota: Para instalar gMSA en las máquinas clientes, repita los pasos 1 a 3 y configure la base de datos agregando el usuario gmsa01 y asignando el rol sysadmin.
Para configurar gMSA en máquinas virtuales de la Control Room, vaya a Administración > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario > Cuenta del sistema local y asegúrese de que gMSA (por ejemplo, SAMENTERPRISE\gmsa02$) esté en la lista.
Nota: Debe otorgar privilegios de administrador a la cuenta gMSA en la VM de la Control Room.

Para obtener información sobre la instalación silenciosa, consulte Instalar Control Room en Microsoft Windows Server mediante scripts.