Un account del servizio gestito di gruppo è un account di dominio gestito che fornisce la gestione automatica delle password, la gestione semplificata del nome dell'entità servizio (SPN), la possibilità di delegare la gestione ad altri amministratori e di estendere questa funzionalità su più server. La sincronizzazione cloud di Microsoft Entra supporta e utilizza un account servizi gestiti di gruppo (gMSA) per eseguire l'agente. È possibile scegliere di consentire al programma di installazione di creare un nuovo account o specificare un account personalizzato. Durante l'installazione verranno richieste le credenziali amministrative per creare questo account o impostare le autorizzazioni se si usa un account personalizzato. Se il programma di installazione crea l'account, l'account viene visualizzato come domain\provAgentgMSA$. Per altre informazioni su un gMSA, vedere Account di servizio gestiti per gruppi
Prerequisiti per gMSA
Lo schema di Active Directory nell'insieme di strutture del dominio gMSA deve essere aggiornato a Windows Server 2012 o versione successiva.
Almeno un controller di dominio nel dominio deve eseguire Windows Server 2012 o versione successiva.
Il server aggiunto al dominio in cui viene installato l'agente deve eseguire Windows Server 2016 o versione successiva.
Autorizzazioni impostate su un account gMSA (tutte le autorizzazioni)
Quando il programma di installazione crea l'account gMSA, imposta TUTTE le autorizzazioni per l'account. Le tabelle seguenti illustrano in dettaglio queste autorizzazioni
MS-DS-Consistency-Guid
Tipo
Nome
Accesso
Si applica a
Consentire
<account gmsa>
Scrivere la proprietà mS-DS-ConsistencyGuid
Oggetti utente discendenti
Consentire
<account gmsa>
Proprietà di scrittura mS-DS-ConsistencyGuid
Oggetti discendente del gruppo
Se la foresta associata è ospitata in un ambiente Windows Server 2016, include le autorizzazioni seguenti per le chiavi NGC e le chiavi STK.
Tipo
Nome
Accesso
Si applica a
Consentire
<account gmsa>
Scrivi la proprietà msDS-KeyCredentialLink
Oggetti utente discendenti
Consentire
<account gmsa>
Scrittura della proprietà msDS-KeyCredentialLink
Oggetti discendenti del dispositivo
Sincronizzazione dell'hash delle password
Tipo
Nome
Accesso
Si applica a
Consentire
<account gmsa>
Replica delle modifiche alla directory
Solo questo oggetto (radice del dominio)
Consentire
<account gmsa>
Replica di tutte le modifiche nella directory
Solo questo oggetto (radice del dominio)
Ripristino delle password
Tipo
Nome
Accesso
Si applica a
Consentire
<account gmsa>
Reimpostazione password
Oggetti utente discendenti
Consentire
<account gmsa>
Imposta proprietà lockoutTime
Oggetti utente discendenti
Consentire
<account gmsa>
Scrittura proprietà pwdLastSet
Oggetti utente discendenti
Consentire
<account gmsa>
Password senza scadenza
Solo questo oggetto (radice del dominio)
Writeback dei gruppi
Tipo
Nome
Accesso
Si applica a
Consentire
<account gmsa>
Lettura/scrittura generica
Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari
Consentire
<account gmsa>
Crea/Elimina oggetto figlio
Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari
Consentire
<account gmsa>
Elimina/Elimina oggetti dell'albero
Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari
Distribuzione ibrida di Exchange
Tipo
Nome
Accesso
Si applica a
Consentire
<account gmsa>
Lettura/scrittura di tutte le proprietà
Oggetti Utente discendenti
Consentire
<account gmsa>
Leggi/scrivi tutte le proprietà
Oggetti InetOrgPerson discendenti
Consentire
<account gmsa>
Lettura/Scrittura di tutte le proprietà
Oggetti del gruppo discendente
Consentire
<account gmsa>
Lettura/scrittura di tutte le proprietà
Oggetti Contatto discendenti
Cartelle pubbliche della posta di Exchange
Tipo
Nome
Accesso
Si applica a
Consentire
<account gmsa>
Leggi tutte le proprietà
Oggetti discendenti di PublicFolder
UserGroupCreateDelete (CloudHR)
Tipo
Nome
Accesso
Si applica a
Consentire
<account gmsa>
Scrittura generica
Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari
Consentire
<account gmsa>
Crea/Elimina oggetto figlio
Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari
Consentire
<account gmsa>
Scrittura generica
Tutti gli attributi del tipo di oggetto utente e dei sottooggetti
Consentire
<account gmsa>
Crea/Elimina oggetto figlio
Tutti gli attributi del tipo di oggetto utente e dei sotto-oggetti
Uso di un account gMSA personalizzato
Se si sta creando un account personalizzato del servizio gestito di gruppo, il programma di installazione imposta le autorizzazioni ALL sull'account personalizzato.