Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Konto usługi zarządzane przez grupę to zarządzane konto domeny, które zapewnia automatyczne zarządzanie hasłami, uproszczone zarządzanie główną nazwą usługi (SPN), możliwość delegowania zarządzania do innych administratorów, a także rozszerza tę funkcję na wiele serwerów. Microsoft Entra Cloud Sync supports and uses a gMSA for running the agent. Możesz zezwolić instalatorowi na utworzenie nowego konta lub określenie konta niestandardowego. Podczas instalacji zostanie wyświetlony monit o podanie poświadczeń administracyjnych, aby utworzyć to konto lub ustawić uprawnienia w przypadku korzystania z konta niestandardowego. Jeśli instalator utworzy konto, konto zostanie wyświetlone jako domain\provAgentgMSA$. Aby uzyskać więcej informacji o gMSA, zobacz Grupowe Zarządzane Konta Usług.
Wymagania wstępne dotyczące usługi gMSA
- Schemat usługi Active Directory w lesie domeny gMSA musi zostać zaktualizowany do systemu Windows Server 2012 lub nowszego.
- Moduły RSAT programu PowerShell na kontrolerze domeny.
- Co najmniej jeden kontroler domeny w domenie musi mieć system Windows Server 2012 lub nowszy.
- Serwer przyłączony do domeny, na którym jest instalowany agent, musi mieć system Windows Server 2016 lub nowszy.
Uprawnienia ustawione na koncie gMSA (WSZYSTKIE uprawnienia)
Gdy instalator utworzy konto gMSA, ustawia wszystkie uprawnienia na koncie. Poniższe tabele zawierają szczegółowe informacje o tych uprawnieniach
MS-DS-Consistency-Guid
| Typ | Nazwisko | Dostęp | Applies To |
|---|---|---|---|
| Allow | <gmsa account> | Write property mS-DS-ConsistencyGuid | Obiekty użytkownika podrzędnego |
| Allow | <gmsa account> | Write property mS-DS-ConsistencyGuid | Obiekty grupy podrzędnej |
Jeśli skojarzony las jest hostowany w środowisku systemu Windows Server 2016, obejmuje następujące uprawnienia dla kluczy NGC i kluczy STK.
| Typ | Nazwisko | Dostęp | Applies To |
|---|---|---|---|
| Allow | <gmsa account> | Write property msDS-KeyCredentialLink | Obiekty użytkownika podrzędnego |
| Allow | <gmsa account> | Write property msDS-KeyCredentialLink | Obiekty urządzenia podrzędnego |
Password Hash Sync
| Typ | Nazwisko | Dostęp | Applies To |
|---|---|---|---|
| Allow | <gmsa account> | Replikowanie zmian katalogu | This object only (Domain root) |
| Allow | <gmsa account> | Replicating Directory Changes All | This object only (Domain root) |
Password Writeback
| Typ | Nazwisko | Dostęp | Applies To |
|---|---|---|---|
| Allow | <gmsa account> | Resetuj hasło | Obiekty użytkownika podrzędnego |
| Allow | <gmsa account> | Zapisanie właściwości lockoutTime | Obiekty użytkownika podrzędnego |
| Allow | <gmsa account> | Właściwość pwdLastSet zapisz | Obiekty użytkownika podrzędnego |
| Allow | <gmsa account> | Unexpire Password | This object only (Domain root) |
Group Writeback
| Typ | Nazwisko | Dostęp | Applies To |
|---|---|---|---|
| Allow | <gmsa account> | Ogólny odczyt/zapis | Wszystkie atrybuty grupy typów obiektów i podobiektów |
| Allow | <gmsa account> | Create/Delete child object | Wszystkie atrybuty grupy typów obiektów i podobiektów |
| Allow | <gmsa account> | Delete/Delete tree objects | Wszystkie atrybuty grupy typów obiektów i podobiektów |
Wdrożenie hybrydowe programu Exchange
| Typ | Nazwisko | Dostęp | Applies To |
|---|---|---|---|
| Allow | <gmsa account> | Odczytywanie/zapisywanie wszystkich właściwości | Obiekty użytkownika podrzędnego |
| Allow | <gmsa account> | Odczytywanie/zapisywanie wszystkich właściwości | Descendant InetOrgPerson objects |
| Allow | <gmsa account> | Odczytywanie/zapisywanie wszystkich właściwości | Obiekty grupy podrzędnej |
| Allow | <gmsa account> | Odczytywanie/zapisywanie wszystkich właściwości | Descendant Contact objects |
Foldery publiczne poczty programu Exchange
| Typ | Nazwisko | Dostęp | Applies To |
|---|---|---|---|
| Allow | <gmsa account> | Przeczytaj wszystkie właściwości | Obiekty podrzędne PublicFolder |
UserGroupCreateDelete (CloudHR)
| Typ | Nazwisko | Dostęp | Applies To |
|---|---|---|---|
| Allow | <gmsa account> | Generic write | Wszystkie atrybuty grupy typów obiektów i podobiektów |
| Allow | <gmsa account> | Create/Delete child object | Wszystkie atrybuty grupy typów obiektów i podobiektów |
| Allow | <gmsa account> | Generic write | All attributes of object type user and subobjects |
| Allow | <gmsa account> | Create/Delete child object | All attributes of object type user and subobjects |
Korzystanie z niestandardowego konta usługi gMSA
Jeśli tworzysz niestandardowe konto gMSA, instalator ustawi WSZYSTKIE uprawnienia na koncie niestandardowym.
Aby uzyskać instrukcje dotyczące uaktualnienia istniejącego agenta do korzystania z konta gMSA, zobacz Grupowe Zarządzane Konta Usług.
Aby uzyskać więcej informacji na temat przygotowywania usługi Active Directory na potrzeby konta usługi zarządzanej przez grupę, zobacz Omówienie kont usług zarządzanych przez grupę.