Skupinový účet spravované služby je spravovaný účet domény, který poskytuje automatickou správu hesel, zjednodušenou správu hlavního názvu služby (SPN), možnost delegovat správu na jiné správce a také tuto funkci rozšiřuje na více serverů. Microsoft Entra Cloud Sync podporuje a používá gMSA ke spuštění agenta. Můžete se rozhodnout, že instalačnímu programu povolíte vytvořit nový účet nebo zadat vlastní účet. Během instalace se zobrazí výzva k zadání přihlašovacích údajů správce, abyste mohli vytvořit tento účet nebo nastavit oprávnění, pokud používáte vlastní účet. Pokud instalační program vytvoří účet, zobrazí se účet jako domain\provAgentgMSA$. Další informace o gMSA naleznete ve skupině Účty spravované služby.
Požadavky pro gMSA
Schéma služby Active Directory v doménové struktuře domény gMSA je potřeba aktualizovat na Windows Server 2012 nebo novější.
Minimálně jeden řadič domény v doméně musí používat Windows Server 2012 nebo novější.
Server připojený k doméně, na kterém se agent instaluje, musí být Windows Server 2016 nebo novější.
Oprávnění nastavená u účtu gMSA (VŠECHNA oprávnění)
Když instalační program vytvoří účet gMSA, nastaví všechna oprávnění k účtu. Následující tabulky podrobně uvádějí tato oprávnění.
Identifikátor GUID konzistence MS-DS
Typ
Název
Access
Platí pro
Povolit
<Účet gmsa>
Zápis vlastnosti mS-DS-ConsistencyGuid
Objekty potomků uživatelů
Povolit
<Účet gmsa>
Zápis vlastnosti mS-DS-ConsistencyGuid
Objekty skupiny potomků
Pokud je přidružená doménová struktura hostovaná v prostředí Windows Serveru 2016, zahrnuje následující oprávnění pro klíče CLUSTER a klíče STK.
Typ
Název
Access
Platí pro
Povolit
<Účet gmsa>
Write – vlastnost msDS-KeyCredentialLink
Objekty potomků uživatelů
Povolit
<Účet gmsa>
Write – vlastnost msDS-KeyCredentialLink
Objekty zařízení potomků
Synchronizace hodnoty hash hesel
Typ
Název
Access
Platí pro
Povolit
<Účet gmsa>
Replikace změn adresáře
Pouze tento objekt (kořen domény)
Povolit
<Účet gmsa>
Replikace změn adresáře – vše
Pouze tento objekt (kořen domény)
Zpětný zápis hesla
Typ
Název
Access
Platí pro
Povolit
<Účet gmsa>
Vytvořit nové heslo
Objekty potomků uživatele
Povolit
<Účet gmsa>
Write property lockoutTime
Objekty potomků uživatele
Povolit
<Účet gmsa>
Write property pwdLastSet
Objekty potomků uživatele
Povolit
<Účet gmsa>
Zrušit vypršení hesla
Pouze tento objekt (kořen domény)
Zpětný zápis skupin
Typ
Název
Access
Platí pro
Povolit
<Účet gmsa>
Obecné čtení a zápis
Všechny atributy skupiny typů objektů a podobjektů
Povolit
<Účet gmsa>
Vytvoření nebo odstranění podřízeného objektu
Všechny atributy skupiny typů objektů a podobjektů
Povolit
<Účet gmsa>
Odstranění nebo odstranění objektů stromu
Všechny atributy skupiny typů objektů a podobjektů
Hybridní nasazení systému Exchange
Typ
Název
Access
Platí pro
Povolit
<Účet gmsa>
Čtení/zápis všech vlastností
Objekty potomků uživatele
Povolit
<Účet gmsa>
Čtení/zápis všech vlastností
Descendant InetOrgPerson – objekty
Povolit
<Účet gmsa>
Čtení/zápis všech vlastností
Objekty descendant Group
Povolit
<Účet gmsa>
Čtení/zápis všech vlastností
Objekty potomku kontaktu
Veřejné složky e-mailu Exchange
Typ
Název
Access
Platí pro
Povolit
<Účet gmsa>
Čtení všech vlastností
Objekty Descendant PublicFolder
UserGroupCreateDelete (CloudHR)
Typ
Název
Access
Platí pro
Povolit
<Účet gmsa>
Obecný zápis
Všechny atributy skupiny typů objektů a podobjektů
Povolit
<Účet gmsa>
Vytvoření nebo odstranění podřízeného objektu
Všechny atributy skupiny typů objektů a podobjektů
Povolit
<Účet gmsa>
Obecný zápis
Všechny atributy uživatele a podobjektů typu objektu
Povolit
<Účet gmsa>
Vytvoření nebo odstranění podřízeného objektu
Všechny atributy uživatele a podobjektů typu objektu
Použití vlastního účtu gMSA
Pokud vytváříte vlastní účet gMSA, instalační program nastaví všechna oprávnění pro vlastní účet.
Postup upgradu existujícího agenta tak, aby používal účet gMSA, najdete v tématu skupinové účty spravované služby.
Další informace o tom, jak připravit službu Active Directory na skupině Účet spravované služby, najdete v tématu Přehled skupinových účtů spravované služby.