Compartilhar via

Group Managed Service Accounts

  • Artigo

Uma Conta de Serviço Gerenciada de grupo é uma conta de domínio gerenciada que fornece gerenciamento automático de senhas, gerenciamento simplificado de SPN (nome da entidade de serviço) e a capacidade de delegar o gerenciamento para outros administradores, além de estender essa funcionalidade para vários servidores. A Sincronização na Nuvem do Microsoft Entra dá suporte e usa uma gMSA para executar o agente. Você pode optar por permitir que o instalador crie uma nova conta ou especifique uma conta personalizada. Você será solicitado a fornecer credenciais administrativas durante a configuração, para criar essa conta ou definir permissões se estiver usando uma conta personalizada. Se o instalador criar a conta, a conta será exibida como domain\provAgentgMSA$. Para obter mais informações sobre uma gMSA, confira Contas de Serviço Gerenciado de grupo.

Pré-requisitos da gMSA

  • O esquema do Active Directory na floresta de domínio da gMSA precisa ser atualizado para o Windows Server 2012 ou posterior.
  • Módulos das Ferramentas de Administração de Servidor Remoto do PowerShell em um controlador de domínio.
  • Pelo menos um controlador de domínio no domínio deve estar executando o Windows Server 2012 ou posterior.
  • Um servidor conectado ao domínio em que o agente está sendo instalado precisa ser o Windows Server 2016 ou posterior.

Permissões definidas em uma conta gMSA (Todas as permissões)

Quando o instalador cria a conta gMSA, ele define Todas as permissões na conta. As tabelas a seguir detalham essas permissões

MS-DS-Consistency-Guid

Tipo Nome Acesso Aplica-se A
Allow <Conta gmsa> Propriedade de gravação mS-DS-ConsistencyGuid Objetos de usuário descendentes
Allow <Conta gmsa> Propriedade de gravação mS-DS-ConsistencyGuid Objetos de grupo descendentes

Se a floresta associada estiver hospedada em um ambiente do Windows Server 2016, ela incluirá as seguintes permissões para chaves NGC e chaves STK.

Tipo Nome Acesso Aplica-se A
Allow <Conta gmsa> Gravar propriedade msDS-KeyCredentialLink Objetos de usuário descendentes
Allow <Conta gmsa> Gravar propriedade msDS-KeyCredentialLink Objetos de dispositivo descendente

Sincronização de hash de senha

Tipo Nome Acesso Aplica-se A
Allow <Conta gmsa> Replicar alterações de diretório Apenas este objeto (raiz de domínio)
Allow <Conta gmsa> Replicar todas as alterações de diretório Apenas este objeto (raiz de domínio)

Write-back de senha

Tipo Nome Acesso Aplica-se A
Allow <Conta gmsa> Redefinir senha Objetos de usuário descendentes
Allow <Conta gmsa> Gravar lockoutTime de propriedade Objetos de usuário descendentes
Allow <Conta gmsa> Gravar pwdLastSet de propriedade Objetos de usuário descendentes
Allow <Conta gmsa> Não permitir expiração de senha Apenas este objeto (raiz de domínio)

Write-back de grupo

Tipo Nome Acesso Aplica-se A
Allow <Conta gmsa> Leitura/gravação genérica Todos os atributos do grupo do tipo de objeto e subobjetos
Allow <Conta gmsa> Excluir também objetos filho Todos os atributos do grupo do tipo de objeto e subobjetos
Allow <Conta gmsa> Excluir/Excluir objetos da árvore Todos os atributos do grupo do tipo de objeto e subobjetos

Implantação híbrida do Exchange

Tipo Nome Acesso Aplica-se A
Allow <Conta gmsa> Leitura/gravação de todas as propriedades Objetos de usuário descendentes
Allow <Conta gmsa> Leitura/gravação de todas as propriedades Objetos descendentes de InetOrgPerson
Allow <Conta gmsa> Leitura/gravação de todas as propriedades Objetos de grupo descendentes
Allow <Conta gmsa> Leitura/gravação de todas as propriedades Objetos de contato descendentes

Pastas públicas do Exchange Mail

Tipo Nome Acesso Aplica-se A
Allow <Conta gmsa> Leia todas as propriedades Objetos PublicFolder descendentes

UserGroupCreateDelete (CloudHR)

Tipo Nome Acesso Aplica-se A
Allow <Conta gmsa> GENERIC_WRITE Todos os atributos do grupo do tipo de objeto e subobjetos
Allow <Conta gmsa> Excluir também objetos filho Todos os atributos do grupo do tipo de objeto e subobjetos
Allow <Conta gmsa> GENERIC_WRITE Todos os atributos do tipo de objeto usuário e subobjetos
Allow <Conta gmsa> Excluir também objetos filho Todos os atributos do tipo de objeto usuário e subobjetos

Conta gMSA personalizada

Se você estiver criando uma conta gMSA personalizada, o instalador definirá as permissões ALL na conta personalizada.

Para ver as etapas sobre como atualizar um agente existente para usar uma conta gMSA, confira Contas de Serviço Gerenciadas de grupo.

Para obter mais informações sobre como preparar o Active Directory para a Conta de Serviço Gerenciada de grupo, confira Visão geral das Contas de Serviço Gerenciadas de grupo.

Próximas etapas