Ein gruppenverwaltetes Dienstkonto ist ein verwaltetes Domänenkonto, das eine automatische Kennwortverwaltung, eine vereinfachte Verwaltung von Dienstprinzipalnamen (Service Principal Name, SPN) und die Möglichkeit bietet, die Verwaltung an andere Administratoren zu delegieren, wobei diese Funktionalität auch auf mehrere Server erweitert werden kann. Die Microsoft Entra-Cloudsynchronisierung unterstützt und verwendet ein gMSA zum Ausführen des Agents. Sie können dem Installationsprogramm das Erstellen eines neuen Kontos oder das Angeben eines benutzerdefinierten Kontos gestatten. Sie werden während des Setups zur Eingabe von Administratoranmeldeinformationen aufgefordert, um dieses Konto zu erstellen oder Berechtigungen festzulegen, falls Sie ein benutzerdefiniertes Konto verwenden. Wenn das Installationsprogramm das Konto erstellt, wird das Konto als domain\provAgentgMSA$ angezeigt. Weitere Informationen zu einem gMSA finden Sie unter Gruppenverwaltete Dienstkonten.
Voraussetzungen für das gMSA
Das Active Directory-Schema in der Gesamtstruktur der gMSA-Domäne muss auf Windows Server 2012 oder höher aktualisiert werden.
Auf mindestens einem Domänencontroller in der Domäne muss Windows Server 2012 oder höher ausgeführt werden.
Ein in eine Domäne eingebundener Server, auf dem der Agent installiert ist, muss Windows Server 2016 oder höher aufweisen.
Für ein gMSA festgelegte Berechtigungen (ALLE Berechtigungen)
Wenn das Installationsprogramm das gMSA erstellt, werden ALLE Berechtigungen für das Konto festgelegt. In den folgenden Tabellen werden diese Berechtigungen ausführlich beschrieben.
MS-DS-Consistency-Guid
type
Name
Zugriff
Gilt für
Allow
<gMSA-Konto>
Schreibeigenschaft „mS-DS-ConsistencyGuid“
Nachfolger-Benutzerobjekte
Allow
<gMSA-Konto>
Schreibeigenschaft „mS-DS-ConsistencyGuid“
Nachfolger-Gruppenobjekte
Wenn die zugeordnete Gesamtstruktur in einer Windows Server 2016-Umgebung gehostet wird, enthält sie die folgenden Berechtigungen für NGC-Schlüssel und STK-Schlüssel.
type
Name
Zugriff
Gilt für
Allow
<gMSA-Konto>
Schreibeigenschaft „msDS-KeyCredentialLink“
Nachfolger-Benutzerobjekte
Allow
<gMSA-Konto>
Schreibeigenschaft „msDS-KeyCredentialLink“
Nachfolger-Geräteobjekte
Kennworthashsynchronisierung
type
Name
Zugriff
Gilt für
Allow
<gMSA-Konto>
Replizieren von Verzeichnisänderungen
Nur dieses Objekt (Domänenstamm)
Zulassen
<gMSA-Konto>
Replizieren von Verzeichnisänderungen: Alle
Nur dieses Objekt (Domänenstamm)
Rückschreiben von Kennwörtern
type
Name
Zugriff
Gilt für
Allow
<gMSA-Konto>
Kennwort zurücksetzen
Nachfolger-Benutzerobjekte
Allow
<gMSA-Konto>
Schreiben für Eigenschaft „LockoutTime“
Nachfolger-Benutzerobjekte
Allow
<gMSA-Konto>
Schreiben für Eigenschaft „pwdLastSet“
Nachfolger-Benutzerobjekte
Allow
<gMSA-Konto>
Abgelaufenes Kennwort wiederherstellen
Nur dieses Objekt (Domänenstamm)
Gruppenrückschreiben
type
Name
Zugriff
Gilt für
Allow
<gMSA-Konto>
Generisches Lesen/Schreiben
Alle Attribute einer Objekttypgruppe und von Unterobjekten
Zulassen
<gMSA-Konto>
Erstellen/Löschen von untergeordneten Objekten
Alle Attribute einer Objekttypgruppe und von Unterobjekten
Zulassen
<gMSA-Konto>
Löschen/Löschen von Strukturobjekten
Alle Attribute einer Objekttypgruppe und von Unterobjekten
Exchange-Hybridbereitstellung
type
Name
Zugriff
Gilt für
Allow
<gMSA-Konto>
Lesen/Schreiben für alle Eigenschaften
Nachfolger-Benutzerobjekte
Allow
<gMSA-Konto>
Lesen/Schreiben für alle Eigenschaften
Nachfolger-InetOrgPerson-Objekte
Allow
<gMSA-Konto>
Lesen/Schreiben für alle Eigenschaften
Nachfolger-Gruppenobjekte
Allow
<gMSA-Konto>
Lesen/Schreiben für alle Eigenschaften
Nachfolger-Kontaktobjekte
Öffentliche Exchange-E-Mail-Ordner
type
Name
Zugriff
Gilt für
Allow
<gMSA-Konto>
Alle Eigenschaften lesen
Nachfolger-PublicFolder-Objekte
UserGroupCreateDelete (CloudHR)
type
Name
Zugriff
Gilt für
Allow
<gMSA-Konto>
Generischer Schreibzugriff
Alle Attribute einer Objekttypgruppe und von Unterobjekten
Zulassen
<gMSA-Konto>
Erstellen/Löschen von untergeordneten Objekten
Alle Attribute einer Objekttypgruppe und von Unterobjekten
Zulassen
<gMSA-Konto>
Generischer Schreibzugriff
Alle Attribute eines Objekttypbenutzers und von Unterobjekten
Zulassen
<gMSA-Konto>
Erstellen/Löschen von untergeordneten Objekten
Alle Attribute eines Objekttypbenutzers und von Unterobjekten
Verwenden eines benutzerdefinierten gMSA
Wenn Sie ein benutzerdefiniertes gMSA-Konto erstellen, legt das Installationsprogramm die Berechtigungen ALLE für das benutzerdefinierte Konto fest.
Die Schritte zum Aktualisieren eines vorhandenen Agents für die Verwendung eines gMSA-Kontos finden Sie unter Gruppenverwaltete Dienstkonten.