Cuentas de servicio administradas de grupo
Artikulua 06/28/2024
2 kolaboratzaile
Oharrak
Artikulu honetan
Una cuenta de servicio administrada de grupo es una cuenta de dominio administrado que proporciona administración automática de contraseñas, administración simplificada del nombre de entidad de seguridad de servicio (SPN), la posibilidad de delegar la administración a otros administradores y, además, amplía esta funcionalidad a varios servidores. Microsoft Entra Cloud Sync admite y usa una gMSA para ejecutar el agente. Puede optar por permitir que el instalador cree una cuenta o especifique una cuenta personalizada. Se le pedirán credenciales administrativas durante la instalación, con el fin de crear esta cuenta o establecer permisos si usa una cuenta personalizada. Si el instalador crea la cuenta, la cuenta aparece como domain\provAgentgMSA$
. Para obtener más información sobre gMSA, consulte Cuentas de servicio administradas de grupo .
Requisitos previos de gMSA:
El esquema de Active Directory del bosque del dominio de gMSA se tiene que actualizar a Windows Server 2012 o versiones posteriores.
Módulos de RSAT de PowerShell en un controlador de dominio.
Al menos un controlador de dominio en el dominio debe ejecutar Windows Server 2012 o versiones posteriores.
Un servidor unido a un dominio en el que se está instalando el agente debe ser Windows Server 2016 o posterior.
Permisos establecidos en una cuenta de gMSA (TODOS los permisos)
Cuando el instalador crea la cuenta de gMSA, establece TODOS los permisos de la cuenta. En las tablas siguientes se detallan estos permisos
MS-DS-Consistency-Guid
Tipo
Nombre
Acceso
Se aplica a
Allow
<Cuenta de gMSA>
Propiedad Write mS-DS-ConsistencyGuid
Objetos del usuario descendientes
Allow
<Cuenta de gMSA>
Propiedad Write mS-DS-ConsistencyGuid
Objetos del grupo descendientes
Si el bosque asociado se hospeda en un entorno de Windows Server 2016, incluye los siguientes permisos para las claves NGC y las claves STK.
Tipo
Nombre
Acceso
Se aplica a
Allow
<Cuenta de gMSA>
Propiedad Write msDS-KeyCredentialLink
Objetos del usuario descendientes
Allow
<Cuenta de gMSA>
Propiedad Write msDS-KeyCredentialLink
Objetos del dispositivo descendientes
Sincronización de hash de contraseñas
Tipo
Nombre
Acceso
Se aplica a
Allow
<Cuenta de gMSA>
Replicación de los cambios de directorio
Solo este objeto (raíz del dominio)
Permitir
<Cuenta de gMSA>
Replicación de todos los cambios de directorio
Solo este objeto (raíz del dominio)
Escritura diferida de contraseñas
Tipo
Nombre
Acceso
Se aplica a
Allow
<Cuenta de gMSA>
Restablecimiento de contraseña
Objetos del usuario descendientes
Allow
<Cuenta de gMSA>
Escritura del elemento lockoutTime de la propiedad
Objetos del usuario descendientes
Allow
<Cuenta de gMSA>
Escritura del elemento pwdLastSet de la propiedad
Objetos del usuario descendientes
Allow
<Cuenta de gMSA>
Contraseña sin expiración
Solo este objeto (raíz del dominio)
Escritura diferida de grupos
Tipo
Nombre
Acceso
Se aplica a
Allow
<Cuenta de gMSA>
Lectura/escritura genérica
Todos los atributos del grupo de tipo de objeto y subobjetos
Permitir
<Cuenta de gMSA>
Creación o eliminación de los objetos secundarios
Todos los atributos del grupo de tipo de objeto y subobjetos
Permitir
<Cuenta de gMSA>
Eliminación/eliminación de objetos de árbol
Todos los atributos del grupo de tipo de objeto y subobjetos
Implementación híbrida de Exchange
Tipo
Nombre
Acceso
Se aplica a
Allow
<Cuenta de gMSA>
Lectura y escritura de todas las propiedades
Objetos del usuario descendientes
Allow
<Cuenta de gMSA>
Lectura y escritura de todas las propiedades
Objetos InetOrgPerson descendientes
Allow
<Cuenta de gMSA>
Lectura y escritura de todas las propiedades
Objetos del grupo descendientes
Allow
<Cuenta de gMSA>
Lectura y escritura de todas las propiedades
Objetos del contacto descendiente
Carpetas públicas de correo de Exchange
Tipo
Nombre
Acceso
Se aplica a
Allow
<Cuenta de gMSA>
Lectura de todas las propiedades
Objetos PublicFolder descendientes
UserGroupCreateDelete (CloudHR)
Tipo
Nombre
Acceso
Se aplica a
Allow
<Cuenta de gMSA>
Generic write
Todos los atributos del grupo de tipo de objeto y subobjetos
Permitir
<Cuenta de gMSA>
Creación o eliminación de los objetos secundarios
Todos los atributos del grupo de tipo de objeto y subobjetos
Permitir
<Cuenta de gMSA>
Escritura genérica
Todos los atributos del grupo de tipo de objeto y subobjetos
Permitir
<Cuenta de gMSA>
Creación o eliminación de los objetos secundarios
Todos los atributos del grupo de tipo de objeto y subobjetos
Uso de una cuenta de gMSA personalizada
Si va a crear una cuenta de gMSA personalizada, el instalador establecerá los permisos ALL en la cuenta personalizada.
Si quiere conocer los pasos para actualizar un agente existente con el fin de usar una cuenta de gMSA, consulte Cuentas de servicio administradas de grupo .
Para obtener más información sobre cómo preparar Active Directory para la cuenta de servicio administrada de grupo, consulte Información general sobre las cuentas de servicio administradas de grupo .
Pasos siguientes