Es difícil tener el Directorio Activo sin usuarios genéricos que no estén asociados a una persona física, casi inevitable. Aquí pondré una manera de intentar sustituir los que levantan servicios. Con la manera que voy a describir no evitaremos que salgan en nuestro directorio Activo, pero se tratarán/clasificarán de otra manera diferente, irán a parar a otra OU, no será necesario preocuparnos por los cambios de contraseña, y lo más importante nunca podrán hacer un logon en ninguno de nuestros hosts.
Hasta conocer esta técnica una manera de salir del paso era crear un usuario con una contraseña muy muy complicada, que no le caducase la contraseña y asociarlo a un servidor. Como en los servidores si explícitamente no le dices que un usuario puede hacer logon, no tiene el privilegio de abrir una sesión, con lo que tedremos un usuario que no puede entrar en un servidor, pero si puede arrancar aplicaciones.
A veces tenemos que incluirlo en la directiva / GPO:
Ahora viene la evolución de lo comentado, de hecho hace años que existe :-).
La nomenclatura de Microsoft para este tipo de usuario es "Managed Service Accounts (MSA) "
Asociar un usuario a un servicio
Parte A. Configuramos el usuario en nuestro AD.
Paso [1] Nos conectamos a un servidor que tenga PowerShell
Paso [2] Tecleado la linea "Import-Module ActiveDirectory" con la que importaremos el módulo del Directorio Activo.
Paso [3] Crearemos un usuario que arranque los servicio y que no podrá hacer logon en ninguna máquina. En este ejemplo le llamaremos "UsuarioTestServicio"
Por defecto irán a parar a esta OU:
Paso [4] Asociaremos el usuario que hemos creado "UsuarioTestServicio" a un servidor donde queremos que arranque los servicios "PCServerdondeArrancaServicios"
Parte B. Configuramos el servidor donde queremos arrancar los servicios.
Paso [5] Tenemos que comprobar que el servidor tenga las caracterísitcas "Active Directory module for Windows PowerShell" y ".NET Framework 3.5.1" instalados. Lo podemos ver desde el "Server Manager"
Vemos que hay instalado:
Paso [6] Arrancamos el PowerShell igual que el Paso [1]
Paso [7] Importamos el Módulo del Directorio Activo igual que el Paso [2]
Si tenemos problemas seguir los siguientes pasos:
Casi siempre hay que hace lo comentado en el pantallazo anterior si el servidor no es un Controlador de Dominio.
A veces puede darnos otro error que podemos solucionar:
Paso [8] Instalamos la nueva cuenta MSA, el usuario del paso 3, de la siguiente manera: Install-ADServiceAccount -Identity "UsuarioTestServicio"
Paso [9] Ahora vamos a asociar el usuario con el servicio. Arrancamos la consola de servicios "Services.msc"
Entramos en el servicio donde queremos asociar al nuevo usuario en este caso el servicio es "SNMP Trap"
La cuenta de usuario deberá acabar con el símbolo $
Ya solo queda dar al "Start" para arrancar el servicio
Des-Asociar un usuario a un servicio
Para eliminar/des-asociar el usuario del servicio del servidor: Remove-ADServiceAccount –identity "UsuarioArrancaServicio"
Se le puede sacar mucho más partido a lo aquí comentado, a ver si en siguientes post puedo ampliarlo.
IMPORTANTE:
Una cuenta de usuario MSA no puede estar configurada en más de un host.
Una cuenta de usuario MSA puede arrancar más de un servicio.
No he conseguido hacerlo funcionar en la versión Web Server.
Para los que les gusta mas el entorno gráfico en http://cjwdev.co.uk/Software/MSAGUI/Info.html podeis ver una herramienta "Managed Service Accounts GUI" bastante interesante que facilita las tareas anteriormente explicadas. La parte gratuita está limitada pero hace lo suficiente para tenernos contentos:
Como veis es muy simple y facilita mucho las cosas
* Probado en un AD con esquema en Windows 2003. Hay variaciones en función al Esquema, lo explicado en este post es lo más básico.
GoN. Marzo 2015