Account del servizio gestito di gruppo
Un account del servizio gestito di gruppo è un account di dominio gestito che fornisce la gestione automatica delle password, la gestione semplificata del nome dell'entità servizio (SPN), la possibilità di delegare la gestione ad altri amministratori ed estende anche questa funzionalità su più server. Microsoft Entra Cloud Sync supporta e usa un account del servizio gestito del gruppo per l'esecuzione dell'agente. È possibile scegliere di consentire al programma di installazione di creare un nuovo account o specificare un account personalizzato. Durante l'installazione verranno richieste le credenziali amministrative per creare questo account o impostare le autorizzazioni se si usa un account personalizzato. Se il programma di installazione crea l'account, l'account viene visualizzato come domain\provAgentgMSA$. Per altre informazioni su un account del servizio gestito del gruppo, vedere Group Managed Service Accounts.For more information on a gMSA, see group Managed Service Accounts.
Prerequisiti per l'account del servizio gestito del gruppo
- Lo schema di Active Directory nella foresta del dominio del servizio gestito del gruppo deve essere aggiornato a Windows Server 2012 o versione successiva.
- Moduli di Strumenti di amministrazione remota del server powerShell in un controller di dominio.
- Almeno un controller di dominio nel dominio deve eseguire Windows Server 2012 o versione successiva.
- Un server aggiunto a un dominio in cui è installato l'agente deve essere Windows Server 2016 o versione successiva.
Autorizzazioni impostate su un account del servizio gestito del gruppo (autorizzazioni ALL)
Quando il programma di installazione crea l'account del servizio gestito del gruppo, imposta TUTTE le autorizzazioni per l'account. Le tabelle seguenti illustrano in dettaglio queste autorizzazioni
MS-DS-Consistency-Guid
| Type | Nome | Accesso | Si applica a |
|---|---|---|---|
| Consenti | <account gmsa> | Proprietà di scrittura mS-DS-ConsistencyGuid | Oggetti utente discendenti |
| Consenti | <account gmsa> | Proprietà di scrittura mS-DS-ConsistencyGuid | Oggetti gruppo discendente |
Se la foresta associata è ospitata in un ambiente Windows Server 2016, include le autorizzazioni seguenti per le chiavi NGC e le chiavi STK.
| Type | Nome | Accesso | Si applica a |
|---|---|---|---|
| Consenti | <account gmsa> | Proprietà di scrittura msDS-KeyCredentialLink | Oggetti utente discendenti |
| Consenti | <account gmsa> | Proprietà di scrittura msDS-KeyCredentialLink | Oggetti dispositivo discendenti |
Sincronizzazione dell'hash delle password
| Type | Nome | Accesso | Si applica a |
|---|---|---|---|
| Consenti | <account gmsa> | Replica modifiche directory | Solo questo oggetto (radice dominio) |
| Consenti | <account gmsa> | Replica di tutte le modifiche directory | Solo questo oggetto (radice dominio) |
Writeback delle password
| Type | Nome | Accesso | Si applica a |
|---|---|---|---|
| Consenti | <account gmsa> | Reimpostazione password | Oggetti User discendenti |
| Consenti | <account gmsa> | Scrittura proprietà lockoutTime | Oggetti User discendenti |
| Consenti | <account gmsa> | Scrittura proprietà pwdLastSet | Oggetti User discendenti |
| Consenti | <account gmsa> | Password senza scadenza | Solo questo oggetto (radice dominio) |
Writeback dei gruppi
| Type | Nome | Accesso | Si applica a |
|---|---|---|---|
| Consenti | <account gmsa> | Lettura/scrittura generica | Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari |
| Consenti | <account gmsa> | Crea/Elimina oggetti figli | Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari |
| Consenti | <account gmsa> | Elimina/Elimina oggetti albero | Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari |
Distribuzione ibrida di Exchange
| Type | Nome | Accesso | Si applica a |
|---|---|---|---|
| Consenti | <account gmsa> | Lettura/scrittura di tutte le proprietà | Oggetti User discendenti |
| Consenti | <account gmsa> | Lettura/scrittura di tutte le proprietà | Oggetti InetOrgPerson discendenti |
| Consenti | <account gmsa> | Lettura/scrittura di tutte le proprietà | Oggetti Group discendenti |
| Consenti | <account gmsa> | Lettura/scrittura di tutte le proprietà | Oggetti Contact discendenti |
Cartelle pubbliche della posta di Exchange
| Type | Nome | Accesso | Si applica a |
|---|---|---|---|
| Consenti | <account gmsa> | Leggi tutte le proprietà | Oggetti PublicFolder discendenti |
UserGroupCreateDelete (CloudHR)
| Type | Nome | Accesso | Si applica a |
|---|---|---|---|
| Consenti | <account gmsa> | Scrittura generica | Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari |
| Consenti | <account gmsa> | Crea/Elimina oggetti figli | Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari |
| Consenti | <account gmsa> | Scrittura generica | Tutti gli attributi dell'utente e dei sottooggetti del tipo di oggetto |
| Consenti | <account gmsa> | Crea/Elimina oggetti figli | Tutti gli attributi dell'utente e dei sottooggetti del tipo di oggetto |
Uso di un account del servizio gestito del gruppo personalizzato
Se si sta creando un account del servizio gestito del gruppo personalizzato, il programma di installazione imposta le autorizzazioni ALL per l'account personalizzato.
Per informazioni su come aggiornare un agente esistente per l'uso di un account del servizio gestito del gruppo, vedere Raggruppare gli account del servizio gestito.
Per altre informazioni su come preparare Active Directory per l'account del servizio gestito del gruppo, vedere Panoramica degli account del servizio gestito del gruppo.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per