Partage via

Group Managed Service Accounts

  • Article

Un compte de service managé de groupe est un compte de domaine managé qui fournit la gestion automatique des mots de passe, la gestion simplifiée du nom de principal du service (SPN) et la possibilité de déléguer la gestion à d’autres administrateurs. Par ailleurs, cette fonctionnalité s’étend sur plusieurs serveurs. La synchronisation cloud Microsoft Entra prend en charge et utilise un gMSA pour exécuter l'agent. Vous pouvez choisir d’autoriser le programme d’installation à créer un compte ou à spécifier un compte personnalisé. Vous serez invité à fournir des informations d’identification d’administration lors de l’installation pour créer ce compte ou à définir des autorisations si vous utilisez un compte personnalisé. Si le programme d’installation crée le compte, le compte apparaît sous la forme domain\provAgentgMSA$. Pour plus d’informations sur un gMSA, consultez Comptes de service géré de groupe

Prérequis pour gMSA

  • Le schéma Active Directory dans la forêt du domaine gMSA doit être mis à jour vers Windows Server 2012 ou version ultérieure.
  • Les modules RSAT PowerShell sur un contrôleur de domaine
  • Au moins un contrôleur de domaine dans le domaine doit exécuter Windows Server 2012 ou version ultérieure.
  • Un serveur joint à un domaine sur lequel l’agent est en cours d’installation doit être configuré avec Windows Server 2016 ou version ultérieure.

Autorisations définies sur un compte gMSA (TOUTES les autorisations)

Lorsque le programme d’installation crée le compte gMSA, il définit TOUTES les autorisations sur le compte. Les tableaux suivants détaillent ces autorisations

MS-DS-Consistency-Guid

Type Nom Accès S'applique à
Allow <Compte gMSA> Propriété d’écriture mS-DS-ConsistencyGuid Objets utilisateur descendants
Allow <Compte gMSA> Propriété d’écriture mS-DS-ConsistencyGuid Objets groupe descendants

Si la forêt associée est hébergée dans un environnement Windows Server 2016, elle inclut les autorisations suivantes pour les clés NGC et les clés STK.

Type Nom Accès S'applique à
Allow <Compte gMSA> Propriété d’écriture msDS-KeyCredentialLink Objets utilisateur descendants
Allow <Compte gMSA> Propriété d’écriture msDS-KeyCredentialLink Objets appareil descendants

Synchronisation de hachage de mot de passe

Type Nom Accès S'applique à
Allow <Compte gMSA> Réplication des modifications de l’annuaire Cet objet uniquement (racine du domaine)
Autoriser <Compte gMSA> Réplication de toutes les modifications de l’annuaire Cet objet uniquement (racine du domaine)

Réécriture du mot de passe

Type Nom Accès S'applique à
Allow <Compte gMSA> Réinitialiser le mot de passe Objets utilisateur descendants
Allow <Compte gMSA> Écriture de la propriété lockoutTime Objets utilisateur descendants
Allow <Compte gMSA> Écriture de la propriété pwdLastSet Objets utilisateur descendants
Allow <Compte gMSA> Ne pas faire expirer le mot de passe Cet objet uniquement (racine du domaine)

Réécriture de groupe

Type Nom Accès S'applique à
Allow <Compte gMSA> Lecture/Écriture générique Tous les attributs d’un groupe de types d’objets et des sous-objets
Autoriser <Compte gMSA> Création/Suppression de l’objet enfant Tous les attributs d’un groupe de types d’objets et des sous-objets
Autoriser <Compte gMSA> Suppression/Suppression d’objets d’arborescence Tous les attributs d’un groupe de types d’objets et des sous-objets

Déploiement Exchange hybride

Type Nom Accès S'applique à
Allow <Compte gMSA> Lecture/écriture de toutes les propriétés Objets utilisateur descendants
Allow <Compte gMSA> Lecture/écriture de toutes les propriétés Objets InetOrgPerson descendants
Allow <Compte gMSA> Lecture/écriture de toutes les propriétés Objets groupe descendants
Allow <Compte gMSA> Lecture/écriture de toutes les propriétés Objets contact descendants

Dossiers publics de messagerie Exchange

Type Nom Accès S'applique à
Allow <Compte gMSA> Lire toutes les propriétés Objets PublicFolder descendants

UserGroupCreateDelete (CloudHR)

Type Nom Accès S'applique à
Allow <Compte gMSA> Écriture générique Tous les attributs d’un groupe de types d’objets et des sous-objets
Autoriser <Compte gMSA> Création/Suppression de l’objet enfant Tous les attributs d’un groupe de types d’objets et des sous-objets
Autoriser <Compte gMSA> Écriture générique Tous les attributs d’un utilisateur de types d’objets et des sous-objets
Autoriser <Compte gMSA> Création/Suppression de l’objet enfant Tous les attributs d’un utilisateur de types d’objets et des sous-objets

Utilisation d’un compte gMSA personnalisé

Si vous créez un compte gMSA personnalisé, le programme d’installation définit TOUTES les autorisations sur le compte personnalisé.

Pour connaître les étapes de la mise à niveau d’un agent existant afin d’utiliser un compte gMSA, consultez Comptes de service managés de groupe.

Pour plus d’informations sur la préparation de votre annuaire Active Directory pour le compte de service managé de groupe, consultez Vue d’ensemble des comptes de service managés de groupe.

Étapes suivantes