Delen via

Door groep beheerde serviceaccounts

  • Artikel

Een beheerd serviceaccount voor groepen is een beheerd domeinaccount dat automatisch wachtwoordbeheer, vereenvoudigd SPN-beheer (Service Principal Name) biedt, de mogelijkheid om het beheer te delegeren aan andere beheerders en deze functionaliteit ook uitbreidt via meerdere servers. Microsoft Entra Cloud Sync ondersteunt en gebruikt een gMSA voor het uitvoeren van de agent. U kunt ervoor kiezen om het installatieprogramma toe te staan een nieuw account te maken of een aangepast account op te geven. U wordt tijdens de installatie gevraagd om beheerdersreferenties om dit account te maken of machtigingen in te stellen als u een aangepast account gebruikt. Als het installatieprogramma het account maakt, wordt het account weergegeven als domain\provAgentgMSA$. Zie Beheerde serviceaccounts voor groepen voor meer informatie over een gMSA.

Vereisten voor gMSA

  • Het Active Directory-schema in het forest van het gMSA-domein moet worden bijgewerkt naar Windows Server 2012 of hoger.
  • PowerShell RSAT-modules op een domeincontroller.
  • Op ten minste één domeincontroller in het domein moet Windows Server 2012 of hoger worden uitgevoerd.
  • Een server die lid is van een domein waarop de agent wordt geïnstalleerd, moet Windows Server 2016 of hoger zijn.

Machtigingen ingesteld voor een gMSA-account (ALLE machtigingen)

Wanneer het installatieprogramma het gMSA-account maakt, wordt ALLE machtigingen voor het account ingesteld. In de volgende tabellen worden deze machtigingen beschreven

MS-DS-Consistency-Guid

Type Naam Access Van toepassing op
Toestaan <gmsa-account> Eigenschap mS-DS-ConsistencyGuid schrijven Onderliggende gebruikersobjecten
Toestaan <gmsa-account> Eigenschap mS-DS-ConsistencyGuid schrijven Onderliggende groepsobjecten

Als het bijbehorende forest wordt gehost in een Windows Server 2016-omgeving, bevat het de volgende machtigingen voor NGC-sleutels en STK-sleutels.

Type Naam Access Van toepassing op
Toestaan <gmsa-account> Eigenschap msDS-KeyCredentialLink schrijven Onderliggende gebruikersobjecten
Toestaan <gmsa-account> Eigenschap msDS-KeyCredentialLink schrijven Onderliggende apparaatobjecten

Wachtwoordhashsynchronisatie

Type Naam Access Van toepassing op
Toestaan <gmsa-account> Directorywijzigingen repliceren Alleen dit object (domeinhoofdmap)
Toestaan <gmsa-account> Alle directorywijzigingen repliceren Alleen dit object (domeinhoofdmap)

Wachtwoord terugschrijven

Type Naam Access Van toepassing op
Toestaan <gmsa-account> Wachtwoord opnieuw instellen Onderliggende gebruikersobjecten
Toestaan <gmsa-account> lockoutTime van eigenschap Schrijven Onderliggende gebruikersobjecten
Toestaan <gmsa-account> pwdLastSet van eigenschap Schrijven Onderliggende gebruikersobjecten
Toestaan <gmsa-account> Niet-verlopen wachtwoord Alleen dit object (domeinhoofdmap)

Write-back van groep

Type Naam Access Van toepassing op
Toestaan <gmsa-account> Algemeen Lezen/Schrijven Alle kenmerken van objecttypegroep en subobjecten
Toestaan <gmsa-account> Onderliggend object maken/verwijderen Alle kenmerken van objecttypegroep en subobjecten
Toestaan <gmsa-account> Structuurobjecten maken/verwijderen Alle kenmerken van objecttypegroep en subobjecten

Hybride implementatie voor Exchange

Type Naam Access Van toepassing op
Toestaan <gmsa-account> Alle eigenschappen lezen/schrijven Onderliggende gebruikersobjecten
Toestaan <gmsa-account> Alle eigenschappen lezen/schrijven Onderliggende InetOrgPerson-objecten
Toestaan <gmsa-account> Alle eigenschappen lezen/schrijven Onderliggende groepsobjecten
Toestaan <gmsa-account> Alle eigenschappen lezen/schrijven Onderliggende contactpersoonobjecten

Openbare e-mailmappen van Exchange

Type Naam Access Van toepassing op
Toestaan <gmsa-account> Alle eigenschappen lezen Onderliggende PublicFolder-objecten

UserGroupCreateDelete (CloudHR)

Type Naam Access Van toepassing op
Toestaan <gmsa-account> Algemene schrijfbewerking Alle kenmerken van objecttypegroep en subobjecten
Toestaan <gmsa-account> Onderliggend object maken/verwijderen Alle kenmerken van objecttypegroep en subobjecten
Toestaan <gmsa-account> Algemene schrijfbewerking Alle kenmerken van het objecttype gebruiker en subobjecten
Toestaan <gmsa-account> Onderliggend object maken/verwijderen Alle kenmerken van het objecttype gebruiker en subobjecten

Een aangepast gMSA-account gebruiken

Als u een aangepast gMSA-account maakt, stelt het installatieprogramma alle machtigingen voor het aangepaste account in.

Zie beheerde serviceaccounts voor groepen voor stappen voor het upgraden van een bestaande agent voor het gebruik van een gMSA-account.

Zie het overzicht van beheerde serviceaccounts voor groepen voor meer informatie over het voorbereiden van uw Active Directory voor het beheerde serviceaccount van de groep.

Volgende stappen