Condividi tramite

Account del servizio gestito dal gruppo

  • Articolo

Un account del servizio gestito di gruppo è un account di dominio gestito che fornisce la gestione automatica delle password, la gestione semplificata del nome dell'entità servizio (SPN), la possibilità di delegare la gestione ad altri amministratori e di estendere questa funzionalità su più server. La sincronizzazione cloud di Microsoft Entra supporta e utilizza un account servizi gestiti di gruppo (gMSA) per eseguire l'agente. È possibile scegliere di consentire al programma di installazione di creare un nuovo account o specificare un account personalizzato. Durante l'installazione verranno richieste le credenziali amministrative per creare questo account o impostare le autorizzazioni se si usa un account personalizzato. Se il programma di installazione crea l'account, l'account viene visualizzato come domain\provAgentgMSA$. Per altre informazioni su un gMSA, vedere Account di servizio gestiti per gruppi

Prerequisiti per gMSA

  • Lo schema di Active Directory nell'insieme di strutture del dominio gMSA deve essere aggiornato a Windows Server 2012 o versione successiva.
  • Moduli RSAT di PowerShell su un controller di dominio.
  • Almeno un controller di dominio nel dominio deve eseguire Windows Server 2012 o versione successiva.
  • Il server aggiunto al dominio in cui viene installato l'agente deve eseguire Windows Server 2016 o versione successiva.

Autorizzazioni impostate su un account gMSA (tutte le autorizzazioni)

Quando il programma di installazione crea l'account gMSA, imposta TUTTE le autorizzazioni per l'account. Le tabelle seguenti illustrano in dettaglio queste autorizzazioni

MS-DS-Consistency-Guid

Tipo Nome Accesso Si applica a
Consentire <account gmsa> Scrivere la proprietà mS-DS-ConsistencyGuid Oggetti utente discendenti
Consentire <account gmsa> Proprietà di scrittura mS-DS-ConsistencyGuid Oggetti discendente del gruppo

Se la foresta associata è ospitata in un ambiente Windows Server 2016, include le autorizzazioni seguenti per le chiavi NGC e le chiavi STK.

Tipo Nome Accesso Si applica a
Consentire <account gmsa> Scrivi la proprietà msDS-KeyCredentialLink Oggetti utente discendenti
Consentire <account gmsa> Scrittura della proprietà msDS-KeyCredentialLink Oggetti discendenti del dispositivo

Sincronizzazione dell'hash delle password

Tipo Nome Accesso Si applica a
Consentire <account gmsa> Replica delle modifiche alla directory Solo questo oggetto (radice del dominio)
Consentire <account gmsa> Replica di tutte le modifiche nella directory Solo questo oggetto (radice del dominio)

Ripristino delle password

Tipo Nome Accesso Si applica a
Consentire <account gmsa> Reimpostazione password Oggetti utente discendenti
Consentire <account gmsa> Imposta proprietà lockoutTime Oggetti utente discendenti
Consentire <account gmsa> Scrittura proprietà pwdLastSet Oggetti utente discendenti
Consentire <account gmsa> Password senza scadenza Solo questo oggetto (radice del dominio)

Writeback dei gruppi

Tipo Nome Accesso Si applica a
Consentire <account gmsa> Lettura/scrittura generica Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari
Consentire <account gmsa> Crea/Elimina oggetto figlio Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari
Consentire <account gmsa> Elimina/Elimina oggetti dell'albero Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari

Distribuzione ibrida di Exchange

Tipo Nome Accesso Si applica a
Consentire <account gmsa> Lettura/scrittura di tutte le proprietà Oggetti Utente discendenti
Consentire <account gmsa> Leggi/scrivi tutte le proprietà Oggetti InetOrgPerson discendenti
Consentire <account gmsa> Lettura/Scrittura di tutte le proprietà Oggetti del gruppo discendente
Consentire <account gmsa> Lettura/scrittura di tutte le proprietà Oggetti Contatto discendenti

Cartelle pubbliche della posta di Exchange

Tipo Nome Accesso Si applica a
Consentire <account gmsa> Leggi tutte le proprietà Oggetti discendenti di PublicFolder

UserGroupCreateDelete (CloudHR)

Tipo Nome Accesso Si applica a
Consentire <account gmsa> Scrittura generica Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari
Consentire <account gmsa> Crea/Elimina oggetto figlio Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari
Consentire <account gmsa> Scrittura generica Tutti gli attributi del tipo di oggetto utente e dei sottooggetti
Consentire <account gmsa> Crea/Elimina oggetto figlio Tutti gli attributi del tipo di oggetto utente e dei sotto-oggetti

Uso di un account gMSA personalizzato

Se si sta creando un account personalizzato del servizio gestito di gruppo, il programma di installazione imposta le autorizzazioni ALL sull'account personalizzato.

Per informazioni su come aggiornare un agente esistente per l'uso di un account gMSA, vedere Account del servizio gestito di gruppo.

Per ulteriori informazioni su come preparare Active Directory per gli account del servizio gestito di gruppo, vedere Panoramica degli account del servizio gestito di gruppo.

Passaggi successivi