Group Managed Service Accounts
Uma Conta de Serviço Gerenciada de grupo é uma conta de domínio gerenciada que fornece gerenciamento automático de senhas, gerenciamento simplificado de SPN (nome da entidade de serviço) e a capacidade de delegar o gerenciamento para outros administradores, além de estender essa funcionalidade para vários servidores. A Sincronização na Nuvem do Microsoft Entra dá suporte e usa uma gMSA para executar o agente. Você pode optar por permitir que o instalador crie uma nova conta ou especifique uma conta personalizada. Você será solicitado a fornecer credenciais administrativas durante a configuração, para criar essa conta ou definir permissões se estiver usando uma conta personalizada. Se o instalador criar a conta, a conta será exibida como domain\provAgentgMSA$. Para obter mais informações sobre uma gMSA, confira Contas de Serviço Gerenciado de grupo.
Pré-requisitos da gMSA
- O esquema do Active Directory na floresta de domínio da gMSA precisa ser atualizado para o Windows Server 2012 ou posterior.
- Módulos das Ferramentas de Administração de Servidor Remoto do PowerShell em um controlador de domínio.
- Pelo menos um controlador de domínio no domínio deve estar executando o Windows Server 2012 ou posterior.
- Um servidor conectado ao domínio em que o agente está sendo instalado precisa ser o Windows Server 2016 ou posterior.
Permissões definidas em uma conta gMSA (Todas as permissões)
Quando o instalador cria a conta gMSA, ele define Todas as permissões na conta. As tabelas a seguir detalham essas permissões
MS-DS-Consistency-Guid
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Allow | <Conta gmsa> | Propriedade de gravação mS-DS-ConsistencyGuid | Objetos de usuário descendentes |
| Allow | <Conta gmsa> | Propriedade de gravação mS-DS-ConsistencyGuid | Objetos de grupo descendentes |
Se a floresta associada estiver hospedada em um ambiente do Windows Server 2016, ela incluirá as seguintes permissões para chaves NGC e chaves STK.
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Allow | <Conta gmsa> | Gravar propriedade msDS-KeyCredentialLink | Objetos de usuário descendentes |
| Allow | <Conta gmsa> | Gravar propriedade msDS-KeyCredentialLink | Objetos de dispositivo descendente |
Sincronização de hash de senha
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Allow | <Conta gmsa> | Replicar alterações de diretório | Apenas este objeto (raiz de domínio) |
| Allow | <Conta gmsa> | Replicar todas as alterações de diretório | Apenas este objeto (raiz de domínio) |
Write-back de senha
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Allow | <Conta gmsa> | Redefinir senha | Objetos de usuário descendentes |
| Allow | <Conta gmsa> | Gravar lockoutTime de propriedade | Objetos de usuário descendentes |
| Allow | <Conta gmsa> | Gravar pwdLastSet de propriedade | Objetos de usuário descendentes |
| Allow | <Conta gmsa> | Não permitir expiração de senha | Apenas este objeto (raiz de domínio) |
Write-back de grupo
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Allow | <Conta gmsa> | Leitura/gravação genérica | Todos os atributos do grupo do tipo de objeto e subobjetos |
| Allow | <Conta gmsa> | Excluir também objetos filho | Todos os atributos do grupo do tipo de objeto e subobjetos |
| Allow | <Conta gmsa> | Excluir/Excluir objetos da árvore | Todos os atributos do grupo do tipo de objeto e subobjetos |
Implantação híbrida do Exchange
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Allow | <Conta gmsa> | Leitura/gravação de todas as propriedades | Objetos de usuário descendentes |
| Allow | <Conta gmsa> | Leitura/gravação de todas as propriedades | Objetos descendentes de InetOrgPerson |
| Allow | <Conta gmsa> | Leitura/gravação de todas as propriedades | Objetos de grupo descendentes |
| Allow | <Conta gmsa> | Leitura/gravação de todas as propriedades | Objetos de contato descendentes |
Pastas públicas do Exchange Mail
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Allow | <Conta gmsa> | Leia todas as propriedades | Objetos PublicFolder descendentes |
UserGroupCreateDelete (CloudHR)
| Tipo | Nome | Acesso | Aplica-se A |
|---|---|---|---|
| Allow | <Conta gmsa> | GENERIC_WRITE | Todos os atributos do grupo do tipo de objeto e subobjetos |
| Allow | <Conta gmsa> | Excluir também objetos filho | Todos os atributos do grupo do tipo de objeto e subobjetos |
| Allow | <Conta gmsa> | GENERIC_WRITE | Todos os atributos do tipo de objeto usuário e subobjetos |
| Allow | <Conta gmsa> | Excluir também objetos filho | Todos os atributos do tipo de objeto usuário e subobjetos |
Conta gMSA personalizada
Se você estiver criando uma conta gMSA personalizada, o instalador definirá as permissões ALL na conta personalizada.
Para ver as etapas sobre como atualizar um agente existente para usar uma conta gMSA, confira Contas de Serviço Gerenciadas de grupo.
Para obter mais informações sobre como preparar o Active Directory para a Conta de Serviço Gerenciada de grupo, confira Visão geral das Contas de Serviço Gerenciadas de grupo.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de