Compartir a través de

Cuentas de servicio administradas de grupo

  • Artículo

Una cuenta de servicio administrada de grupo es una cuenta de dominio administrado que proporciona administración automática de contraseñas, administración simplificada del nombre de entidad de seguridad de servicio (SPN), la posibilidad de delegar la administración a otros administradores y, además, amplía esta funcionalidad a varios servidores. Microsoft Entra Cloud Sync admite y usa una gMSA para ejecutar el agente. Puede optar por permitir que el instalador cree una cuenta o especifique una cuenta personalizada. Se le pedirán credenciales administrativas durante la instalación, con el fin de crear esta cuenta o establecer permisos si usa una cuenta personalizada. Si el instalador crea la cuenta, la cuenta aparece como domain\provAgentgMSA$. Para obtener más información sobre gMSA, consulte Cuentas de servicio administradas de grupo.

Requisitos previos de gMSA:

  • El esquema de Active Directory del bosque del dominio de gMSA se tiene que actualizar a Windows Server 2012 o versiones posteriores.
  • Módulos de RSAT de PowerShell en un controlador de dominio.
  • Al menos un controlador de dominio en el dominio debe ejecutar Windows Server 2012 o versiones posteriores.
  • Un servidor unido a un dominio en el que se está instalando el agente debe ser Windows Server 2016 o posterior.

Permisos establecidos en una cuenta de gMSA (TODOS los permisos)

Cuando el instalador crea la cuenta de gMSA, establece TODOS los permisos de la cuenta. En las tablas siguientes se detallan estos permisos

MS-DS-Consistency-Guid

Tipo Nombre Acceso Se aplica a
Allow <Cuenta de gMSA> Propiedad Write mS-DS-ConsistencyGuid Objetos del usuario descendientes
Allow <Cuenta de gMSA> Propiedad Write mS-DS-ConsistencyGuid Objetos del grupo descendientes

Si el bosque asociado se hospeda en un entorno de Windows Server 2016, incluye los siguientes permisos para las claves NGC y las claves STK.

Tipo Nombre Acceso Se aplica a
Allow <Cuenta de gMSA> Propiedad Write msDS-KeyCredentialLink Objetos del usuario descendientes
Allow <Cuenta de gMSA> Propiedad Write msDS-KeyCredentialLink Objetos del dispositivo descendientes

Sincronización de hash de contraseñas

Tipo Nombre Acceso Se aplica a
Allow <Cuenta de gMSA> Replicación de los cambios de directorio Solo este objeto (raíz del dominio)
Permitir <Cuenta de gMSA> Replicación de todos los cambios de directorio Solo este objeto (raíz del dominio)

Escritura diferida de contraseñas

Tipo Nombre Acceso Se aplica a
Allow <Cuenta de gMSA> Restablecimiento de contraseña Objetos del usuario descendientes
Allow <Cuenta de gMSA> Escritura del elemento lockoutTime de la propiedad Objetos del usuario descendientes
Allow <Cuenta de gMSA> Escritura del elemento pwdLastSet de la propiedad Objetos del usuario descendientes
Allow <Cuenta de gMSA> Contraseña sin expiración Solo este objeto (raíz del dominio)

Escritura diferida de grupos

Tipo Nombre Acceso Se aplica a
Allow <Cuenta de gMSA> Lectura/escritura genérica Todos los atributos del grupo de tipo de objeto y subobjetos
Permitir <Cuenta de gMSA> Creación o eliminación de los objetos secundarios Todos los atributos del grupo de tipo de objeto y subobjetos
Permitir <Cuenta de gMSA> Eliminación/eliminación de objetos de árbol Todos los atributos del grupo de tipo de objeto y subobjetos

Implementación híbrida de Exchange

Tipo Nombre Acceso Se aplica a
Allow <Cuenta de gMSA> Lectura y escritura de todas las propiedades Objetos del usuario descendientes
Allow <Cuenta de gMSA> Lectura y escritura de todas las propiedades Objetos InetOrgPerson descendientes
Allow <Cuenta de gMSA> Lectura y escritura de todas las propiedades Objetos del grupo descendientes
Allow <Cuenta de gMSA> Lectura y escritura de todas las propiedades Objetos del contacto descendiente

Carpetas públicas de correo de Exchange

Tipo Nombre Acceso Se aplica a
Allow <Cuenta de gMSA> Lectura de todas las propiedades Objetos PublicFolder descendientes

UserGroupCreateDelete (CloudHR)

Tipo Nombre Acceso Se aplica a
Allow <Cuenta de gMSA> Generic write Todos los atributos del grupo de tipo de objeto y subobjetos
Permitir <Cuenta de gMSA> Creación o eliminación de los objetos secundarios Todos los atributos del grupo de tipo de objeto y subobjetos
Permitir <Cuenta de gMSA> Escritura genérica Todos los atributos del grupo de tipo de objeto y subobjetos
Permitir <Cuenta de gMSA> Creación o eliminación de los objetos secundarios Todos los atributos del grupo de tipo de objeto y subobjetos

Uso de una cuenta de gMSA personalizada

Si va a crear una cuenta de gMSA personalizada, el instalador establecerá los permisos ALL en la cuenta personalizada.

Si quiere conocer los pasos para actualizar un agente existente con el fin de usar una cuenta de gMSA, consulte Cuentas de servicio administradas de grupo.

Para obtener más información sobre cómo preparar Active Directory para la cuenta de servicio administrada de grupo, consulte Información general sobre las cuentas de servicio administradas de grupo.

Pasos siguientes