Akun Layanan Terkelola Grup
Akun Layanan Terkelola grup adalah akun domain terkelola yang menyediakan manajemen kata sandi otomatis, manajemen nama prinsipal layanan (SPN) yang disederhanakan, kemampuan untuk mendelegasikan manajemen ke administrator lain, dan juga memperluas fungsionalitas ini melalui beberapa server. Microsoft Entra Cloud Sync mendukung dan menggunakan gMSA untuk menjalankan agen. Anda dapat memilih untuk mengizinkan penginstal membuat akun baru atau menentukan akun kustom. Anda akan dimintai kredensial administratif selama penyiapan, untuk membuat akun ini atau mengatur izin jika menggunakan akun kustom. Jika alat penginstal membuat akun, akun akan muncul sebagai domain\provAgentgMSA$. Untuk informasi selengkapnya tentang gMSA, lihat mengelompokkan Akun Layanan Terkelola.
Prasyarat untuk gMSA
- Skema Direktori Aktif di {i>forest
- Modul PowerShell RSAT pada pengendali domain.
- Setidaknya satu pengendali domain di domain harus menjalankan Windows Server 2012 atau yang lebih baru.
- Server yang bergabung dengan domain tempat agen diinstal harus berupa Windows Server 2016 atau yang lebih baru.
Izin yang diatur pada akun gMSA (izin ALL)
Saat alat penginstal membuat akun gMSA, alat ini mengatur SEMUA izin pada akun. Tabel berikut ini merinci izin ini
MS-DS-Consistency-Guid
| Jenis | Nama | Access | Berlaku Untuk |
|---|---|---|---|
| Izinkan | <akun gmsa> | Tulis properti mS-DS-ConsistencyGuid | Objek pengguna turunan |
| Izinkan | <akun gmsa> | Tulis properti mS-DS-ConsistencyGuid | Objek grup turunan |
Jika forest terkait dihosting di lingkungan Windows Server 2016, forest tersebut menyertakan izin berikut untuk kunci NGC dan kunci STK.
| Jenis | Nama | Access | Berlaku Untuk |
|---|---|---|---|
| Izinkan | <akun gmsa> | Tulis properti msDS-KeyCredentialLink | Objek pengguna turunan |
| Izinkan | <akun gmsa> | Tulis properti msDS-KeyCredentialLink | Objek perangkat turunan |
Sinkronisasi Hash Kata Sandi
| Jenis | Nama | Access | Berlaku Untuk |
|---|---|---|---|
| Izinkan | <akun gmsa> | Mereplikasi Perubahan Direktori | Khusus objek ini (Akar domain) |
| Izinkan | <akun gmsa> | Mereplikasi Semua Perubahan Direktori | Khusus objek ini (Akar domain) |
Tulis Balik Sandi
| Jenis | Nama | Access | Berlaku Untuk |
|---|---|---|---|
| Izinkan | <akun gmsa> | Mengatur Ulang Kata Sandi | Objek Pengguna keturunan |
| Izinkan | <akun gmsa> | Tulis properti lockoutTime | Objek Pengguna keturunan |
| Izinkan | <akun gmsa> | Tulis properti pwdLastSet | Objek Pengguna keturunan |
| Izinkan | <akun gmsa> | Kata Sandi Tidak Kedaluwarsa | Khusus objek ini (Akar domain) |
Write-back Grup
| Jenis | Nama | Access | Berlaku Untuk |
|---|---|---|---|
| Izinkan | <akun gmsa> | Baca/Tulis Umum | Semua atribut grup jenis objek dan sub-objek |
| Izinkan | <akun gmsa> | Membuat/Menghapus objek anak | Semua atribut grup jenis objek dan sub-objek |
| Izinkan | <akun gmsa> | Menghapus/Menghapus objek pohon | Semua atribut grup jenis objek dan sub-objek |
Penyebaran Hibrid Exchange
| Jenis | Nama | Access | Berlaku Untuk |
|---|---|---|---|
| Izinkan | <akun gmsa> | Baca/Tulis semua properti | Objek Pengguna keturunan |
| Izinkan | <akun gmsa> | Baca/Tulis semua properti | Objek InetOrgPerson keturunan |
| Izinkan | <akun gmsa> | Baca/Tulis semua properti | Objek Grup turunan |
| Izinkan | <akun gmsa> | Baca/Tulis semua properti | Objek Kontak keturunan |
Folder Publik Exchange Mail
| Jenis | Nama | Access | Berlaku Untuk |
|---|---|---|---|
| Izinkan | <akun gmsa> | Membaca semua properti | Objek PublicFolder keturunan |
UserGroupCreateDelete (CloudHR)
| Jenis | Nama | Access | Berlaku Untuk |
|---|---|---|---|
| Izinkan | <akun gmsa> | Penulisan generik | Semua atribut grup jenis objek dan sub-objek |
| Izinkan | <akun gmsa> | Membuat/Menghapus objek anak | Semua atribut grup jenis objek dan sub-objek |
| Izinkan | <akun gmsa> | Penulisan generik | Semua atribut pengguna jenis objek dan subobjek |
| Izinkan | <akun gmsa> | Membuat/Menghapus objek anak | Semua atribut pengguna jenis objek dan subobjek |
Menggunakan akun gMSA kustom
Jika Anda membuat akun gMSA kustom, alat penginstal akan mengatur izin SEMUA pada akun kustom.
Untuk langkah-langkah tentang cara meningkatkan agen yang ada untuk menggunakan akun gMSA, lihat mengelompokkan Akun Layanan Terkelola.
Untuk informasi selengkapnya tentang cara menyiapkan Direktori Aktif Anda untuk Akun Layanan Terkelola grup, lihat Gambaran Umum Akun Layanan Terkelola grup.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk