Cuentas de servicio administradas de grupo
Una cuenta de servicio administrada de grupo es una cuenta de dominio administrado que proporciona administración automática de contraseñas, administración simplificada del nombre de entidad de seguridad de servicio (SPN), la posibilidad de delegar la administración a otros administradores y, además, amplía esta funcionalidad a varios servidores. Microsoft Entra Cloud Sync admite y usa una gMSA para ejecutar el agente. Puede optar por permitir que el instalador cree una cuenta o especifique una cuenta personalizada. Se le pedirán credenciales administrativas durante la instalación, con el fin de crear esta cuenta o establecer permisos si usa una cuenta personalizada. Si el instalador crea la cuenta, la cuenta aparece como domain\provAgentgMSA$
. Para obtener más información sobre gMSA, consulte Cuentas de servicio administradas de grupo.
Requisitos previos de gMSA:
- El esquema de Active Directory del bosque del dominio de gMSA se tiene que actualizar a Windows Server 2012 o versiones posteriores.
- Módulos de RSAT de PowerShell en un controlador de dominio.
- Al menos un controlador de dominio en el dominio debe ejecutar Windows Server 2012 o versiones posteriores.
- Un servidor unido a un dominio en el que se está instalando el agente debe ser Windows Server 2016 o posterior.
Permisos establecidos en una cuenta de gMSA (TODOS los permisos)
Cuando el instalador crea la cuenta de gMSA, establece TODOS los permisos de la cuenta. En las tablas siguientes se detallan estos permisos
MS-DS-Consistency-Guid
Tipo | Nombre | Acceso | Se aplica a |
---|---|---|---|
Allow | <Cuenta de gMSA> | Propiedad Write mS-DS-ConsistencyGuid | Objetos del usuario descendientes |
Allow | <Cuenta de gMSA> | Propiedad Write mS-DS-ConsistencyGuid | Objetos del grupo descendientes |
Si el bosque asociado se hospeda en un entorno de Windows Server 2016, incluye los siguientes permisos para las claves NGC y las claves STK.
Tipo | Nombre | Acceso | Se aplica a |
---|---|---|---|
Allow | <Cuenta de gMSA> | Propiedad Write msDS-KeyCredentialLink | Objetos del usuario descendientes |
Allow | <Cuenta de gMSA> | Propiedad Write msDS-KeyCredentialLink | Objetos del dispositivo descendientes |
Sincronización de hash de contraseñas
Tipo | Nombre | Acceso | Se aplica a |
---|---|---|---|
Allow | <Cuenta de gMSA> | Replicación de los cambios de directorio | Solo este objeto (raíz del dominio) |
Permitir | <Cuenta de gMSA> | Replicación de todos los cambios de directorio | Solo este objeto (raíz del dominio) |
Escritura diferida de contraseñas
Tipo | Nombre | Acceso | Se aplica a |
---|---|---|---|
Allow | <Cuenta de gMSA> | Restablecimiento de contraseña | Objetos del usuario descendientes |
Allow | <Cuenta de gMSA> | Escritura del elemento lockoutTime de la propiedad | Objetos del usuario descendientes |
Allow | <Cuenta de gMSA> | Escritura del elemento pwdLastSet de la propiedad | Objetos del usuario descendientes |
Allow | <Cuenta de gMSA> | Contraseña sin expiración | Solo este objeto (raíz del dominio) |
Escritura diferida de grupos
Tipo | Nombre | Acceso | Se aplica a |
---|---|---|---|
Allow | <Cuenta de gMSA> | Lectura/escritura genérica | Todos los atributos del grupo de tipo de objeto y subobjetos |
Permitir | <Cuenta de gMSA> | Creación o eliminación de los objetos secundarios | Todos los atributos del grupo de tipo de objeto y subobjetos |
Permitir | <Cuenta de gMSA> | Eliminación/eliminación de objetos de árbol | Todos los atributos del grupo de tipo de objeto y subobjetos |
Implementación híbrida de Exchange
Tipo | Nombre | Acceso | Se aplica a |
---|---|---|---|
Allow | <Cuenta de gMSA> | Lectura y escritura de todas las propiedades | Objetos del usuario descendientes |
Allow | <Cuenta de gMSA> | Lectura y escritura de todas las propiedades | Objetos InetOrgPerson descendientes |
Allow | <Cuenta de gMSA> | Lectura y escritura de todas las propiedades | Objetos del grupo descendientes |
Allow | <Cuenta de gMSA> | Lectura y escritura de todas las propiedades | Objetos del contacto descendiente |
Carpetas públicas de correo de Exchange
Tipo | Nombre | Acceso | Se aplica a |
---|---|---|---|
Allow | <Cuenta de gMSA> | Lectura de todas las propiedades | Objetos PublicFolder descendientes |
UserGroupCreateDelete (CloudHR)
Tipo | Nombre | Acceso | Se aplica a |
---|---|---|---|
Allow | <Cuenta de gMSA> | Generic write | Todos los atributos del grupo de tipo de objeto y subobjetos |
Permitir | <Cuenta de gMSA> | Creación o eliminación de los objetos secundarios | Todos los atributos del grupo de tipo de objeto y subobjetos |
Permitir | <Cuenta de gMSA> | Escritura genérica | Todos los atributos del grupo de tipo de objeto y subobjetos |
Permitir | <Cuenta de gMSA> | Creación o eliminación de los objetos secundarios | Todos los atributos del grupo de tipo de objeto y subobjetos |
Uso de una cuenta de gMSA personalizada
Si va a crear una cuenta de gMSA personalizada, el instalador establecerá los permisos ALL en la cuenta personalizada.
Si quiere conocer los pasos para actualizar un agente existente con el fin de usar una cuenta de gMSA, consulte Cuentas de servicio administradas de grupo.
Para obtener más información sobre cómo preparar Active Directory para la cuenta de servicio administrada de grupo, consulte Información general sobre las cuentas de servicio administradas de grupo.
Pasos siguientes
Comentarios
https://aka.ms/ContentUserFeedback.
Proximamente: Ao longo de 2024, retiraremos gradualmente GitHub Issues como mecanismo de comentarios sobre o contido e substituirémolo por un novo sistema de comentarios. Para obter máis información, consulte:Enviar e ver os comentarios