Konto usługi zarządzane przez grupę to zarządzane konto domeny, które zapewnia automatyczne zarządzanie hasłami, uproszczone zarządzanie główną nazwą usługi (SPN), możliwość delegowania zarządzania do innych administratorów, a także rozszerza tę funkcję na wiele serwerów. Usługa Microsoft Entra Cloud Sync obsługuje i używa zarządzanego konta zarządzanego do uruchamiania agenta. Możesz zezwolić instalatorowi na utworzenie nowego konta lub określenie konta niestandardowego. Podczas instalacji zostanie wyświetlony monit o podanie poświadczeń administracyjnych, aby utworzyć to konto lub ustawić uprawnienia w przypadku korzystania z konta niestandardowego. Jeśli instalator utworzy konto, konto zostanie wyświetlone jako domain\provAgentgMSA$. Aby uzyskać więcej informacji o gMSA, zobacz konta usług zarządzane przez grupę.
Wymagania wstępne dotyczące usługi gMSA
Schemat usługi Active Directory w lesie domeny gMSA musi zostać zaktualizowany do systemu Windows Server 2012 lub nowszego.
Moduły RSAT programu PowerShell na kontrolerze domeny.
Co najmniej jeden kontroler domeny w domenie musi mieć system Windows Server 2012 lub nowszy.
Serwer przyłączony do domeny, na którym jest instalowany agent, musi mieć system Windows Server 2016 lub nowszy.
Uprawnienia ustawione na koncie gMSA (WSZYSTKIE uprawnienia)
Gdy instalator utworzy konto gMSA, ustawia wszystkie uprawnienia na koncie. Poniższe tabele zawierają szczegółowe informacje o tych uprawnieniach
MS-DS-Consistency-Guid
Type
Nazwisko
Access
Dotyczy
Zezwalaj
<konto gmsa>
Write property mS-DS-ConsistencyGuid
Obiekty użytkownika podrzędnego
Zezwalaj
<konto gmsa>
Write property mS-DS-ConsistencyGuid
Obiekty grupy podrzędnej
Jeśli skojarzony las jest hostowany w środowisku systemu Windows Server 2016, obejmuje następujące uprawnienia dla kluczy NGC i kluczy STK.
Type
Nazwisko
Access
Dotyczy
Zezwalaj
<konto gmsa>
Właściwość write msDS-KeyCredentialLink
Obiekty użytkownika podrzędnego
Zezwalaj
<konto gmsa>
Właściwość write msDS-KeyCredentialLink
Obiekty urządzenia podrzędnego
Synchronizacja skrótów haseł
Type
Nazwisko
Access
Dotyczy
Zezwalaj
<konto gmsa>
Replikowanie zmian katalogu
Ten obiekt (tylko katalog główny domeny)
Zezwalaj
<konto gmsa>
Replikowanie wszystkich zmian katalogu
Ten obiekt (tylko katalog główny domeny)
Zapisywanie zwrotne haseł
Type
Nazwisko
Access
Dotyczy
Zezwalaj
<konto gmsa>
Resetuj hasło
Obiekty użytkownika podrzędnego
Zezwalaj
<konto gmsa>
Zapis właściwości lockoutTime
Obiekty użytkownika podrzędnego
Zezwalaj
<konto gmsa>
Write, właściwość pwdLastSet
Obiekty użytkownika podrzędnego
Zezwalaj
<konto gmsa>
Niewyświetne hasło
Ten obiekt (tylko katalog główny domeny)
Zapisywanie zwrotne grup
Type
Nazwisko
Access
Dotyczy
Zezwalaj
<konto gmsa>
Ogólny odczyt/zapis
Wszystkie atrybuty grupy typów obiektów i podobiektów
Zezwalaj
<konto gmsa>
Tworzenie/usuwanie obiektu podrzędnego
Wszystkie atrybuty grupy typów obiektów i podobiektów
Zezwalaj
<konto gmsa>
Usuwanie/usuwanie obiektów drzewa
Wszystkie atrybuty grupy typów obiektów i podobiektów
Wdrożenie hybrydowe programu Exchange
Type
Nazwisko
Access
Dotyczy
Zezwalaj
<konto gmsa>
Odczytywanie/zapisywanie wszystkich właściwości
Obiekty użytkownika podrzędnego
Zezwalaj
<konto gmsa>
Odczytywanie/zapisywanie wszystkich właściwości
Obiekty InetOrgPerson obiektów potomnych
Zezwalaj
<konto gmsa>
Odczytywanie/zapisywanie wszystkich właściwości
Obiekty grupy podrzędnej
Zezwalaj
<konto gmsa>
Odczytywanie/zapisywanie wszystkich właściwości
Obiekty kontaktów potomnych
Foldery publiczne poczty programu Exchange
Type
Nazwisko
Access
Dotyczy
Zezwalaj
<konto gmsa>
Odczytywanie wszystkich właściwości
Obiekty PublicFolder obiektów podrzędnych
UserGroupCreateDelete (CloudHR)
Type
Nazwisko
Access
Dotyczy
Zezwalaj
<konto gmsa>
Zapis ogólny
Wszystkie atrybuty grupy typów obiektów i podobiektów
Zezwalaj
<konto gmsa>
Tworzenie/usuwanie obiektu podrzędnego
Wszystkie atrybuty grupy typów obiektów i podobiektów
Zezwalaj
<konto gmsa>
Zapis ogólny
Wszystkie atrybuty typu obiektu użytkownika i podobiekty
Zezwalaj
<konto gmsa>
Tworzenie/usuwanie obiektu podrzędnego
Wszystkie atrybuty typu obiektu użytkownika i podobiekty
Korzystanie z niestandardowego konta usługi gMSA
Jeśli tworzysz niestandardowe konto gMSA, instalator ustawi wszystkie uprawnienia na koncie niestandardowym.
Aby uzyskać instrukcje dotyczące uaktualniania istniejącego agenta do korzystania z konta zarządzanego przez grupę, zobacz konta usługi zarządzane przez grupę.
Aby uzyskać więcej informacji na temat przygotowywania usługi Active Directory na potrzeby konta usługi zarządzanej przez grupę, zobacz Omówienie kont usług zarządzanych przez grupę.