Uma Conta de Serviço Gerenciado de grupo é uma conta de domínio gerenciado que fornece gerenciamento automático de senhas, gerenciamento simplificado de SPN (nome da entidade de serviço), a capacidade de delegar o gerenciamento a outros administradores e também estende essa funcionalidade a vários servidores. O Microsoft Entra Cloud Sync suporta e usa um gMSA para executar o agente. Você pode optar por permitir que o instalador crie uma nova conta ou especifique uma conta personalizada. Você será solicitado a fornecer credenciais administrativas durante a instalação, a fim de criar essa conta ou definir permissões se estiver usando uma conta personalizada. Se o instalador criar a conta, a conta aparecerá como domain\provAgentgMSA$. Para obter mais informações sobre um gMSA, consulte Contas de serviço gerenciado de grupo.
Pré-requisitos para gMSA
O esquema do Ative Directory na floresta do domínio gMSA precisa ser atualizado para o Windows Server 2012 ou posterior.
Módulos RSAT do PowerShell em um controlador de domínio.
Pelo menos um controlador de domínio no domínio deve estar executando o Windows Server 2012 ou posterior.
Um servidor ingressado no domínio onde o agente está sendo instalado precisa ser o Windows Server 2016 ou posterior.
Permissões definidas em uma conta gMSA (TODAS as permissões)
Quando o instalador cria a conta gMSA, ele define TODAS as permissões na conta. As tabelas a seguir detalham essas permissões
MS-DS-Consistência-GUID
Type
Nome
Access
Aplica-se A
Permitir
<Conta GMSA>
Propriedade Write mS-DS-ConsistencyGuid
Objetos de usuário descendentes
Permitir
<Conta GMSA>
Propriedade Write mS-DS-ConsistencyGuid
Objetos de grupo descendentes
Se a floresta associada estiver hospedada em um ambiente do Windows Server 2016, ela incluirá as seguintes permissões para chaves NGC e STK.
Type
Nome
Access
Aplica-se A
Permitir
<Conta GMSA>
Propriedade Write msDS-KeyCredentialLink
Objetos de usuário descendentes
Permitir
<Conta GMSA>
Propriedade Write msDS-KeyCredentialLink
Objetos de dispositivo descendentes
Sincronização do Hash de Palavras-passe
Type
Nome
Access
Aplica-se A
Permitir
<Conta GMSA>
Replicando alterações de diretório
Somente este objeto (raiz do domínio)
Permitir
<Conta GMSA>
Replicando alterações de diretório todas
Somente este objeto (raiz do domínio)
Write-back de senha
Type
Nome
Access
Aplica-se A
Permitir
<Conta GMSA>
Repor Palavra-passe
Objetos de usuário descendente
Permitir
<Conta GMSA>
Write property lockoutTime
Objetos de usuário descendente
Permitir
<Conta GMSA>
Propriedade Write pwdLastSet
Objetos de usuário descendente
Permitir
<Conta GMSA>
Senha sem expiração
Somente este objeto (raiz do domínio)
Repetição de Escrita do Grupo
Type
Nome
Access
Aplica-se A
Permitir
<Conta GMSA>
Leitura/Escrita Genérica
Todos os atributos do grupo e subobjetos do tipo de objeto
Permitir
<Conta GMSA>
Criar/Excluir objeto filho
Todos os atributos do grupo e subobjetos do tipo de objeto
Permitir
<Conta GMSA>
Excluir/Excluir objetos de árvore
Todos os atributos do grupo e subobjetos do tipo de objeto
Implementação Híbrida do Exchange
Type
Nome
Access
Aplica-se A
Permitir
<Conta GMSA>
Ler/gravar todas as propriedades
Objetos de usuário descendente
Permitir
<Conta GMSA>
Ler/gravar todas as propriedades
Descendentes de objetos InetOrgPerson
Permitir
<Conta GMSA>
Ler/gravar todas as propriedades
Objetos do Grupo Descendente
Permitir
<Conta GMSA>
Ler/gravar todas as propriedades
Objetos de contato descendentes
Pastas Públicas de Correio do Exchange
Type
Nome
Access
Aplica-se A
Permitir
<Conta GMSA>
Ler todos os imóveis
Objetos Descendant PublicFolder
UserGroupCreateDelete (CloudHR)
Type
Nome
Access
Aplica-se A
Permitir
<Conta GMSA>
Escrita genérica
Todos os atributos do grupo e subobjetos do tipo de objeto
Permitir
<Conta GMSA>
Criar/Excluir objeto filho
Todos os atributos do grupo e subobjetos do tipo de objeto
Permitir
<Conta GMSA>
Escrita genérica
Todos os atributos do usuário e subobjetos do tipo de objeto
Permitir
<Conta GMSA>
Criar/Excluir objeto filho
Todos os atributos do usuário e subobjetos do tipo de objeto
Usando uma conta gMSA personalizada
Se você estiver criando uma conta gMSA personalizada, o instalador definirá as permissões ALL na conta personalizada.
Para conhecer as etapas sobre como atualizar um agente existente para usar uma conta gMSA, consulte Contas de serviço gerenciado do grupo.
Para obter mais informações sobre como preparar o Ative Directory para a Conta de Serviço Gerenciado do grupo, consulte Visão geral das Contas de Serviço Gerenciado do grupo.