Cuentas de servicio
Una cuenta de servicio es una cuenta de usuario que se crea expresamente para proporcionar un contexto de seguridad para los servicios que se ejecutan en los sistemas operativos Windows Server. El contexto de seguridad determina la capacidad del servicio para acceder a los recursos locales y de red. Los sistemas operativos Windows usan servicios para ejecutar varias características. Estos servicios se pueden configurar a través de las aplicaciones, el complemento Servicios o el Administrador de tareas, o bien mediante Windows PowerShell.
Este artículo contiene información sobre los siguientes tipos de cuentas de servicio:
- Cuentas de servicio administradas independientes
- Cuentas de servicio administrada por un grupo
- Cuenta de servicios gestionados delegada
- Cuentas virtuales
Cuentas de servicio administradas independientes
Las cuentas de servicio administradas están diseñadas para aislar las cuentas de dominio en las aplicaciones esenciales, como Internet Information Services (IIS). Con ellas, un administrador ya no tiene que administrar manualmente el nombre de la entidad de seguridad de servicio (SPN) ni las credenciales de las cuentas.
Para usar cuentas de servicio administradas, el servidor en el que está instalada la aplicación o el servicio debe ejecutar Windows Server 2008 R2 o posterior. Una cuenta de servicio administrada se puede usar con los servicios de un solo equipo. Las cuentas de servicio administradas no pueden compartirse entre varios equipos y no pueden usarse en clústeres de servidores donde un servicio se replica en varios nodos de clúster. En este escenario, debe usar una cuenta de servicio administrada por grupos. Para obtener más información, consulte grupo Managed Service Accounts Overview (Información general sobre cuentas de servicio administradas de grupo).
Aparte de mejorar la seguridad que las cuentas individuales proporcionan en los servicios críticos, hay cuatro ventajas administrativas importantes asociadas a las cuentas de servicio administradas:
Permiten a los administradores crear una clase de cuentas de dominio que se pueden usar para administrar y mantener servicios en equipos locales.
A diferencia de las cuentas de dominio, en las que los administradores deben restablecer las contraseñas manualmente, las contraseñas de red de estas cuentas se restablecen automáticamente.
Para usar cuentas de servicio administradas no es necesario completar tareas complejas de administración de SPN.
Las tareas administrativas de las cuentas de servicio administradas se pueden delegar a usuarios que no son administradores.
Nota:
Las cuentas de servicio administradas solo se pueden usar en los sistemas operativos Windows que aparecen en la sección Se aplica a que figura al comienzo de este artículo.
Cuentas de servicio administrada por un grupo
Las cuentas de servicio administradas por grupos son una extensión de las cuentas de servicio administradas independientes, que se incluyeron por primera vez en Windows Server 2008 R2. Son cuentas de dominio administradas que proporcionan administración automática de contraseñas y administración simplificada de SPN, lo que incluye la delegación de la administración a otros administradores.
La cuenta de servicio administrada por grupos ofrece la misma funcionalidad que la cuenta de servicio administrada independiente dentro del dominio, pero también amplía esa funcionalidad por medio de varios servidores. Al establecer una conexión con un servicio hospedado en una granja de servidores (como el equilibrio de carga de red), los protocolos de autenticación que admiten la autenticación mutua necesitan que todas las instancias de los servicios usen la misma entidad de seguridad. Cuando la cuenta de servicio administrada por grupos se usa como la entidad de seguridad del servicio, el sistema operativo Windows Server administra la contraseña de la cuenta en lugar de recurrir al administrador para ello.
El servicio de distribución de claves de Microsoft (kdssvc.dll) proporciona el mecanismo para obtener de manera segura la clave más reciente o una clave específica con un identificador de clave para una cuenta de Active Directory (AD). Este servicio se incluyó en Windows Server 2012 y no funciona con versiones anteriores del sistema operativo Windows Server. Kdssvc.dll comparte un secreto, que sirve para crear claves para la cuenta. Estas claves se cambian de forma periódica. En las cuentas de servicio administradas por grupos, el controlador de dominio (DC) procesa la contraseña a partir de la clave que proporciona kdssvc.dll, además de otros atributos de la cuenta de servicio administrada por grupos.
Cuenta de servicios gestionados delegada
Se ha introducido en Windows Server 2025 un nuevo tipo de cuenta denominada cuenta de servicio administrada delegada (dMSA). Este tipo de cuenta permite a los usuarios pasar de las cuentas de servicio tradicionales a las cuentas de máquina que tienen claves administradas y completamente aleatorias, al tiempo que deshabilitan las contraseñas originales de la cuenta de servicio. La autenticación de dMSA está vinculada a la identidad del dispositivo, lo que significa que solo las identidades de máquina especificadas asignadas en AD pueden acceder a la cuenta. Mediante el uso de dMSA, los usuarios pueden evitar el problema común de la recolección de credenciales mediante una cuenta en peligro asociada a cuentas de servicio tradicionales.
Los usuarios tienen la opción de crear una dMSA como una cuenta independiente o reemplazar una cuenta de servicio estándar existente con ella. Si una cuenta existente se reemplaza por una dMSA, se bloquea la autenticación mediante la contraseña de la cuenta anterior. En su lugar, la solicitud se redirige a la Autoridad de seguridad local (LSA) para la autenticación mediante dMSA, que tendrá acceso a los mismos recursos que la cuenta anterior en AD. Para obtener más información, consulte Información general sobre las cuentas de servicio administradas delegadas.
Cuentas virtuales
Las cuentas virtuales se incluyeron a partir de Windows Server 2008 R2 y Windows 7. Son cuentas locales administradas que simplifican la administración de servicios al proporcionar las siguientes ventajas:
- Las cuentas virtuales se administran automáticamente.
- Las cuentas virtuales pueden tener acceso a la red en un entorno de dominio.
- Administración de contraseñas no necesaria. Por ejemplo, si se usa el valor predeterminado en las cuentas de servicio durante la instalación de SQL Server en Windows Server 2008 R2, se establecerá una cuenta virtual, que usa el nombre de instancia como nombre del servicio, con el formato
NT SERVICE\<SERVICENAME>.
Los servicios que se ejecutan como cuentas virtuales acceden a los recursos de red utilizando las credenciales de la cuenta del equipo en el formato <domain_name>\<computer_name>$.
Para obtener información sobre cómo configurar y usar cuentas de servicio virtuales, consulte Conceptos sobre cuentas de servicio y cuentas virtuales administradas.
Nota:
Las cuentas virtuales solo se pueden usar en los sistemas operativos Windows que aparecen en la sección "Se aplica a" al inicio de este artículo.
Cómo elegir la cuenta de servicio
Las cuentas de servicio se usan para controlar el acceso del servicio a los recursos locales y de red y ayudan a que el servicio pueda funcionar de forma segura y protegida sin exponer información confidencial ni recursos a usuarios no autorizados. Para ver las diferencias entre los tipos de cuenta de servicio, consulte nuestra tabla comparativa:
| Criterio | sMSA | gMSA | dMSA | Cuentas virtuales |
|---|---|---|---|---|
| La aplicación se ejecuta en un único servidor | Sí | Sí | Sí | Sí |
| La aplicación se ejecuta en varios servidores | No | Sí | No | No |
| La aplicación se ejecuta detrás de un equilibrador de carga | No | Sí | No | No |
| La aplicación se ejecuta en Windows Server 2008 R2 y versiones posteriores | Sí | No | No | Sí |
| Requisito para restringir la cuenta de servicio a un solo servidor | Sí | No | Sí | No |
| Admite la cuenta de equipo vinculada a la identidad del dispositivo | No | No | Sí | No |
| Uso en casos de alto nivel de seguridad (evitar la recopilación de credenciales) | No | No | Sí | No |
Al elegir una cuenta de servicio, es importante tener en cuenta factores como el nivel de acceso que necesita el servicio, las directivas de seguridad que se aplican en el servidor y las necesidades específicas de la aplicación o el servicio que se está ejecutando.
sMSA: Diseñado para usarse en un único equipo, los sMSA aportan un método seguro y simplificado para administrar SPN y credenciales. Administran automáticamente las contraseñas y son ideales para aislar cuentas de dominio en aplicaciones críticas. Sin embargo, no se pueden usar en varios servidores o en clústeres de servidores.
gMSA: Amplía la funcionalidad de sMSA aceptando varios servidores, lo que las hace ideales adecuadas para granjas de servidores y aplicaciones con equilibrio de cargas. Realizan una administración automática de contraseñas y SPN, lo que alivia el cúmulo de tareas administrativas. Las gMSA ofrecen una única solución de identidad, lo que permite a los servicios autenticarse en varias instancias sin problemas.
dMSA: Vincula la autenticación a identidades de equipo específicas, lo que impide el acceso no autorizado a través de la recopilación de credenciales. Esto permite la transición de cuentas de servicio tradicionales con claves totalmente aleatorias y administradas. Las dMSA pueden reemplazar las cuentas de servicio tradicionales existentes, lo que garantiza que solo los dispositivos autorizados puedan acceder a recursos confidenciales.
Cuentas virtuales: Una cuenta local administrada que opera con un método simplificado para la administración de servicios sin necesidad de gestionar las contraseñas de forma manual. Pueden acceder a los recursos de red mediante las credenciales de la cuenta de equipo, por lo que son perfectas para los servicios que necesitan acceso a dominios. Las cuentas virtuales se administran automáticamente y solo necesitan una configuración mínima.
Consulte también
| Tipo de contenido | Referencias |
|---|---|
| Evaluación del producto | What's New for Managed Service Accounts Introducción a las cuentas de servicio administradas por grupos |
| Implementación | Windows Server 2012: Cuentas de servicio administradas por grupos - Tech Community |
| Tecnologías relacionadas | Entidades de seguridad Novedades de Active Directory Domain Services |