그룹 관리 서비스 계정
이 문서의 내용
그룹 관리 서비스 계정은 자동 암호 관리, 간소화된 SPN(서비스 사용자 이름) 관리, 다른 관리자에게 관리를 위임하는 기능 및 여러 서버에서 이 기능을 확장하는 관리되는 도메인 계정입니다. Microsoft Entra 클라우드 동기화는 에이전트 실행을 위해 gMSA를 지원하고 사용합니다. 설치 관리자가 새 계정을 만들거나 사용자 지정 계정을 지정하도록 선택할 수 있습니다. 사용자 지정 계정을 사용하는 경우 이 계정을 만들거나 사용 권한을 설정하기 위해 설치하는 동안 관리 자격 증명을 묻는 메시지가 표시됩니다. 설치 관리자가 계정을 만들면 계정이 다음과 같이 domain\provAgentgMSA$표시됩니다. gMSA에 대한 자세한 내용은 그룹 관리 서비스 계정 을 참조하세요.
gMSA에 대한 필수 구성 요소
gMSA 도메인 포리스트의 Active Directory 스키마를 Windows Server 2012 이상으로 업데이트해야 합니다.
도메인 컨트롤러의 PowerShell RSAT 모듈 입니다.
도메인에 있는 하나 이상의 도메인 컨트롤러가 Windows Server 2012 이상을 실행 중이어야 합니다.
에이전트가 설치되는 도메인 조인 서버가 Windows Server 2016 이상이어야 합니다.
gMSA 계정에 설정된 권한(모든 권한)
설치 관리자가 gMSA 계정을 만들 때 계정에 대한 모든 권한을 설정합니다 . 다음 표에서는 이러한 사용 권한을 자세히 설명합니다.
MS-DS-Consistency-Guid
Type
이름
Access
적용 대상
허용
<gmsa 계정>
쓰기 속성 mS-DS-ConsistencyGuid
하위 사용자 개체
허용
<gmsa 계정>
쓰기 속성 mS-DS-ConsistencyGuid
하위 그룹 개체
연결된 포리스트가 Windows Server 2016 환경에서 호스트되는 경우 NGC 키 및 STK 키에 대한 다음 권한이 포함됩니다.
Type
이름
Access
적용 대상
허용
<gmsa 계정>
write 속성 msDS-KeyCredentialLink
하위 사용자 개체
허용
<gmsa 계정>
write 속성 msDS-KeyCredentialLink
하위 디바이스 개체
암호 해시 동기화
Type
이름
Access
적용 대상
허용
<gmsa 계정>
디렉터리 변경 내용 복제
이 개체만(도메인 루트)
허용
<gmsa 계정>
모든 디렉터리 변경 내용 복제
이 개체만(도메인 루트)
비밀번호 쓰기 저장
Type
이름
Access
적용 대상
허용
<gmsa 계정>
암호 다시 설정
하위 사용자 개체
허용
<gmsa 계정>
lockoutTime 속성 쓰기
하위 사용자 개체
허용
<gmsa 계정>
pwdLastSet 속성 쓰기
하위 User 개체
허용
<gmsa 계정>
암호 만료 안 됨
이 개체만(도메인 루트)
그룹 쓰기 저장
Type
이름
Access
적용 대상
허용
<gmsa 계정>
일반 읽기/쓰기
개체 형식 그룹 및 하위 개체의 모든 특성
허용
<gmsa 계정>
자식 개체 만들기/삭제
개체 형식 그룹 및 하위 개체의 모든 특성
허용
<gmsa 계정>
삭제/트리 개체 삭제
개체 형식 그룹 및 하위 개체의 모든 특성
Exchange 하이브리드 배포
Type
이름
Access
적용 대상
허용
<gmsa 계정>
모든 속성 읽기/쓰기
하위 사용자 개체
허용
<gmsa 계정>
모든 속성 읽기/쓰기
하위 InetOrgPerson 개체
허용
<gmsa 계정>
모든 속성 읽기/쓰기
하위 Group 개체
허용
<gmsa 계정>
모든 속성 읽기/쓰기
하위 Contact 개체
Exchange 메일 공용 폴더
Type
이름
Access
적용 대상
허용
<gmsa 계정>
모든 속성 읽기
하위 PublicFolder 개체
UserGroupCreateDelete(CloudHR)
Type
이름
Access
적용 대상
허용
<gmsa 계정>
제네릭 쓰기
개체 형식 그룹 및 하위 개체의 모든 특성
허용
<gmsa 계정>
자식 개체 만들기/삭제
개체 형식 그룹 및 하위 개체의 모든 특성
허용
<gmsa 계정>
제네릭 쓰기
개체 형식 사용자 및 하위 개체의 모든 특성
허용
<gmsa 계정>
자식 개체 만들기/삭제
개체 형식 사용자 및 하위 개체의 모든 특성
사용자 지정 gMSA 계정 사용
사용자 지정 gMSA 계정을 만드는 경우 설치 관리자는 사용자 지정 계정에 대한 ALL 권한을 설정합니다 .
gMSA 계정을 사용하도록 기존 에이전트를 업그레이드하는 방법에 대한 단계는 그룹 관리 서비스 계정 을 참조하세요.
그룹 관리 서비스 계정을 위해 Active Directory를 준비하는 방법에 관한 자세한 내용은 그룹 관리 서비스 계정 개요 를 참조하세요.
다음 단계