Csoportosan felügyelt szolgáltatásfiókok
A csoportos felügyelt szolgáltatásfiók egy felügyelt tartományi fiók, amely automatikus jelszókezelést, egyszerűsített egyszerű szolgáltatásnév-kezelést (SPN) biztosít, lehetővé teszi a felügyelet más rendszergazdáknak való delegálását, és ezt a funkciót több kiszolgálóra is kiterjeszti. A Microsoft Entra Cloud Sync támogatja és használja a gMSA-t az ügynök futtatásához. Dönthet úgy, hogy engedélyezi a telepítőnek, hogy új fiókot hozzon létre, vagy egyéni fiókot adjon meg. A rendszer a telepítés során rendszergazdai hitelesítő adatokat fog kérni a fiók létrehozásához vagy az engedélyek beállításához, ha egyéni fiókot használ. Ha a telepítő létrehozza a fiókot, a fiók a következőképpen jelenik meg domain\provAgentgMSA$: . A gMSA-kkal kapcsolatos további információkért lásd a csoport által felügyelt szolgáltatásfiókokat.
A gMSA előfeltételei
- A gMSA-tartomány erdőjében lévő Active Directory-sémát Windows Server 2012 vagy újabb rendszerre kell frissíteni.
- PowerShell RSAT-modulok egy tartományvezérlőn.
- A tartományban legalább egy tartományvezérlőnek Windows Server 2012 vagy újabb rendszert kell futtatnia.
- A tartományhoz csatlakoztatott kiszolgálónak, amelyen az ügynök telepítve van, Windows Server 2016-nak vagy újabbnak kell lennie.
GMSA-fiókhoz beállított engedélyek (MINDEN engedély)
Amikor a telepítő létrehozza a gMSA-fiókot, beállítja a fiók összes engedélyét. Az alábbi táblázatok részletesen ismertetik ezeket az engedélyeket
MS-DS-Consistency-Guid
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezés | <gmsa-fiók> | MS-DS-ConsistencyGuid tulajdonság írása | Leszármazott felhasználói objektumok |
| Engedélyezés | <gmsa-fiók> | MS-DS-ConsistencyGuid tulajdonság írása | Leszármazottcsoport objektumai |
Ha a társított erdőt Windows Server 2016-környezetben üzemelteti, az NGC-kulcsokhoz és az STK-kulcsokhoz az alábbi engedélyeket tartalmazza.
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezés | <gmsa-fiók> | Write tulajdonság msDS-KeyCredentialLink | Leszármazott felhasználói objektumok |
| Engedélyezés | <gmsa-fiók> | Write tulajdonság msDS-KeyCredentialLink | Leszármazott eszközobjektumok |
Jelszókivonat szinkronizálása
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezés | <gmsa-fiók> | Címtármódosítások replikálása | Csak ez az objektum (tartománygyökér) |
| Engedélyezés | <gmsa-fiók> | A címtár replikálása az összeset módosítja | Csak ez az objektum (tartománygyökér) |
Jelszóvisszaíró
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezés | <gmsa-fiók> | Jelszó alaphelyzetbe állítása | Leszármazott felhasználói objektumok |
| Engedélyezés | <gmsa-fiók> | Tulajdonság lockoutTime írása | Leszármazott felhasználói objektumok |
| Engedélyezés | <gmsa-fiók> | A pwdLastSet tulajdonság írása | Leszármazott felhasználói objektumok |
| Engedélyezés | <gmsa-fiók> | Meg nem oldott jelszó | Csak ez az objektum (tartománygyökér) |
Csoportvisszaírás
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezés | <gmsa-fiók> | Általános olvasás/írás | Az objektumtípuscsoport és alobjektumok összes attribútuma |
| Engedélyezés | <gmsa-fiók> | Gyermekobjektum létrehozása/törlése | Az objektumtípuscsoport és alobjektumok összes attribútuma |
| Engedélyezés | <gmsa-fiók> | Faobjektumok törlése/törlése | Az objektumtípuscsoport és alobjektumok összes attribútuma |
Exchange Hybrid Deployment (Exchange hibrid telepítés)
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezés | <gmsa-fiók> | Az összes tulajdonság olvasása/írása | Leszármazott felhasználói objektumok |
| Engedélyezés | <gmsa-fiók> | Az összes tulajdonság olvasása/írása | Leszármazott InetOrgPerson-objektumok |
| Engedélyezés | <gmsa-fiók> | Az összes tulajdonság olvasása/írása | Leszármazottcsoport-objektumok |
| Engedélyezés | <gmsa-fiók> | Az összes tulajdonság olvasása/írása | Leszármazott névjegyobjektumai |
Exchange Mail Public Folders (Exchange-levelezés – nyilvános mappák)
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezés | <gmsa-fiók> | Az összes tulajdonság beolvasása | Leszármazott publicFolder-objektumok |
UserGroupCreateDelete (CloudHR)
| Típus | Név | Access | Érvényesség |
|---|---|---|---|
| Engedélyezés | <gmsa-fiók> | Általános írás | Az objektumtípuscsoport és alobjektumok összes attribútuma |
| Engedélyezés | <gmsa-fiók> | Gyermekobjektum létrehozása/törlése | Az objektumtípuscsoport és alobjektumok összes attribútuma |
| Engedélyezés | <gmsa-fiók> | Általános írás | Az objektumtípusú felhasználók és alobjektumok összes attribútuma |
| Engedélyezés | <gmsa-fiók> | Gyermekobjektum létrehozása/törlése | Az objektumtípusú felhasználók és alobjektumok összes attribútuma |
Egyéni gMSA-fiók használata
Ha egyéni gMSA-fiókot hoz létre, a telepítő beállítja az összes engedélyt az egyéni fiókon.
A meglévő ügynök gMSA-fiók használatára való frissítésének lépéseit a csoportos felügyeltszolgáltatás-fiókok című témakörben találja.
Az Active Directory csoport felügyelt szolgáltatásfiókra való előkészítéséről további információt a csoportos felügyelt szolgáltatásfiókok áttekintésében talál.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: