Group Managed Service Accounts
Un compte de service managé de groupe est un compte de domaine managé qui fournit la gestion automatique des mots de passe, la gestion simplifiée du nom de principal du service (SPN) et la possibilité de déléguer la gestion à d’autres administrateurs. Par ailleurs, cette fonctionnalité s’étend sur plusieurs serveurs. La synchronisation cloud Microsoft Entra prend en charge et utilise un gMSA pour exécuter l'agent. Vous pouvez choisir d’autoriser le programme d’installation à créer un compte ou à spécifier un compte personnalisé. Vous serez invité à fournir des informations d’identification d’administration lors de l’installation pour créer ce compte ou à définir des autorisations si vous utilisez un compte personnalisé. Si le programme d’installation crée le compte, le compte apparaît sous la forme domain\provAgentgMSA$. Pour plus d’informations sur un gMSA, consultez Comptes de service géré de groupe
Prérequis pour gMSA
- Le schéma Active Directory dans la forêt du domaine gMSA doit être mis à jour vers Windows Server 2012 ou version ultérieure.
- Les modules RSAT PowerShell sur un contrôleur de domaine
- Au moins un contrôleur de domaine dans le domaine doit exécuter Windows Server 2012 ou version ultérieure.
- Un serveur joint à un domaine sur lequel l’agent est en cours d’installation doit être configuré avec Windows Server 2016 ou version ultérieure.
Autorisations définies sur un compte gMSA (TOUTES les autorisations)
Lorsque le programme d’installation crée le compte gMSA, il définit TOUTES les autorisations sur le compte. Les tableaux suivants détaillent ces autorisations
MS-DS-Consistency-Guid
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | <Compte gMSA> | Propriété d’écriture mS-DS-ConsistencyGuid | Objets utilisateur descendants |
| Allow | <Compte gMSA> | Propriété d’écriture mS-DS-ConsistencyGuid | Objets groupe descendants |
Si la forêt associée est hébergée dans un environnement Windows Server 2016, elle inclut les autorisations suivantes pour les clés NGC et les clés STK.
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | <Compte gMSA> | Propriété d’écriture msDS-KeyCredentialLink | Objets utilisateur descendants |
| Allow | <Compte gMSA> | Propriété d’écriture msDS-KeyCredentialLink | Objets appareil descendants |
Synchronisation de hachage de mot de passe
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | <Compte gMSA> | Réplication des modifications de l’annuaire | Cet objet uniquement (racine du domaine) |
| Autoriser | <Compte gMSA> | Réplication de toutes les modifications de l’annuaire | Cet objet uniquement (racine du domaine) |
Réécriture du mot de passe
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | <Compte gMSA> | Réinitialiser le mot de passe | Objets utilisateur descendants |
| Allow | <Compte gMSA> | Écriture de la propriété lockoutTime | Objets utilisateur descendants |
| Allow | <Compte gMSA> | Écriture de la propriété pwdLastSet | Objets utilisateur descendants |
| Allow | <Compte gMSA> | Ne pas faire expirer le mot de passe | Cet objet uniquement (racine du domaine) |
Réécriture de groupe
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | <Compte gMSA> | Lecture/Écriture générique | Tous les attributs d’un groupe de types d’objets et des sous-objets |
| Autoriser | <Compte gMSA> | Création/Suppression de l’objet enfant | Tous les attributs d’un groupe de types d’objets et des sous-objets |
| Autoriser | <Compte gMSA> | Suppression/Suppression d’objets d’arborescence | Tous les attributs d’un groupe de types d’objets et des sous-objets |
Déploiement Exchange hybride
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | <Compte gMSA> | Lecture/écriture de toutes les propriétés | Objets utilisateur descendants |
| Allow | <Compte gMSA> | Lecture/écriture de toutes les propriétés | Objets InetOrgPerson descendants |
| Allow | <Compte gMSA> | Lecture/écriture de toutes les propriétés | Objets groupe descendants |
| Allow | <Compte gMSA> | Lecture/écriture de toutes les propriétés | Objets contact descendants |
Dossiers publics de messagerie Exchange
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | <Compte gMSA> | Lire toutes les propriétés | Objets PublicFolder descendants |
UserGroupCreateDelete (CloudHR)
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | <Compte gMSA> | Écriture générique | Tous les attributs d’un groupe de types d’objets et des sous-objets |
| Autoriser | <Compte gMSA> | Création/Suppression de l’objet enfant | Tous les attributs d’un groupe de types d’objets et des sous-objets |
| Autoriser | <Compte gMSA> | Écriture générique | Tous les attributs d’un utilisateur de types d’objets et des sous-objets |
| Autoriser | <Compte gMSA> | Création/Suppression de l’objet enfant | Tous les attributs d’un utilisateur de types d’objets et des sous-objets |
Utilisation d’un compte gMSA personnalisé
Si vous créez un compte gMSA personnalisé, le programme d’installation définit TOUTES les autorisations sur le compte personnalisé.
Pour connaître les étapes de la mise à niveau d’un agent existant afin d’utiliser un compte gMSA, consultez Comptes de service managés de groupe.
Pour plus d’informations sur la préparation de votre annuaire Active Directory pour le compte de service managé de groupe, consultez Vue d’ensemble des comptes de service managés de groupe.
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour