Групповые управляемые учетные записи служб

Управляемая учетная запись службы — это учетная запись управляемого домена, которая обеспечивает автоматическое управление паролями, упрощенное управление именем субъекта-службы, возможность делегировать управление другим администраторам, а также расширяет эту функцию на нескольких серверах. Microsoft Entra Cloud Sync поддерживает и использует gMSA для запуска агента. Вы можете разрешить установщику создать новую учетную запись или указать пользовательскую учетную запись. Во время установки вам будет предложено предоставить учетные данные администратора, чтобы создать эту учетную запись или задать разрешения при использовании пользовательской учетной записи. Если установщик создает учетную запись, учетная запись отображается как domain\provAgentgMSA$. Дополнительные сведения о gMSA см . в разделе "Групповые управляемые учетные записи служб".

Предварительные требования для gMSA

• Необходимо обновить схему Active Directory в лесу домена gMSA до Windows Server 2012 или более поздней версии.
• Модули RSAT PowerShell на контроллере домена.
• По крайней мере один контроллер домена в домене должен работать под управлением Windows Server 2012 или более поздней версии.
• Сервер, присоединенный к домену, на котором устанавливается агент, должен работать под Windows Server 2016 или ОС более поздней версии.

Разрешения, заданные для учетной записи gMSA (ВСЕ разрешения)

Когда установщик создает учетную запись gMSA, он задает все разрешения для учетной записи. В следующих таблицах подробно описаны эти разрешения

MS-DS-Consistencу-Guid

Тип	Имя.	Открыть	Применяется к
Разрешить	<Учетная запись gmsa>	Запись свойства mS-DS-ConsistencyGuid	Объекты пользователей-потомков
Разрешить	<Учетная запись gmsa>	Запись свойства mS-DS-ConsistencyGuid	Объекты группы потомков

Если связанный лес размещен в среде Windows Server 2016, он содержит следующие разрешения для ключей NGC и ключей STK.

Тип	Имя.	Открыть	Применяется к
Разрешить	<Учетная запись gmsa>	Запись свойства msDS-KeyCredentialLink	Объекты пользователей-потомков
Разрешить	<Учетная запись gmsa>	Запись свойства msDS-KeyCredentialLink	Дочерние объекты устройств

Синхронизация хэша паролей

Тип	Имя.	Открыть	Применяется к
Разрешить	<Учетная запись gmsa>	Репликация изменений каталога	Только в этом объекте (корневой домен)
Разрешить	<Учетная запись gmsa>	Репликация всех изменений каталога	Только в этом объекте (корневой домен)

Обратная запись паролей

Тип	Имя.	Открыть	Применяется к
Разрешить	<Учетная запись gmsa>	Сброс пароля	Потомки объектов-пользователей
Разрешить	<Учетная запись gmsa>	Запись свойства lockoutTime	Потомки объектов-пользователей
Разрешить	<Учетная запись gmsa>	Запись свойства pwdLastSet	Потомки объектов-пользователей
Разрешить	<Учетная запись gmsa>	Отмена пароля	Только в этом объекте (корневой домен)

Обратная запись групп

Тип	Имя.	Открыть	Применяется к
Разрешить	<Учетная запись gmsa>	Универсальное чтение/запись	Все атрибуты группы типов объектов и дочерних объектов
Разрешить	<Учетная запись gmsa>	Создать/удалить дочерний объект	Все атрибуты группы типов объектов и дочерних объектов
Разрешить	<Учетная запись gmsa>	Удалить объекты дерева	Все атрибуты группы типов объектов и дочерних объектов

Гибридное развертывание Exchange

Тип	Имя.	Открыть	Применяется к
Разрешить	<Учетная запись gmsa>	Чтение/запись всех свойств	Потомки объектов-пользователей
Разрешить	<Учетная запись gmsa>	Чтение/запись всех свойств	Дочерние объекты InetOrgPerson
Разрешить	<Учетная запись gmsa>	Чтение/запись всех свойств	Дочерние объекты группы
Разрешить	<Учетная запись gmsa>	Чтение/запись всех свойств	Дочерние объекты контакта

Общедоступные папки почты Exchange

Тип	Имя.	Открыть	Применяется к
Разрешить	<Учетная запись gmsa>	Чтение всех свойств	Дочерние объекты PublicFolder

UserGroupCreateDelete (CloudHR)

Тип	Имя.	Открыть	Применяется к
Разрешить	<Учетная запись gmsa>	Универсальная запись	Все атрибуты группы типов объектов и дочерних объектов
Разрешить	<Учетная запись gmsa>	Создать/удалить дочерний объект	Все атрибуты группы типов объектов и дочерних объектов
Разрешить	<Учетная запись gmsa>	Универсальная запись	Все атрибуты пользователя типа объекта и вложенных объектов
Разрешить	<Учетная запись gmsa>	Создать/удалить дочерний объект	Все атрибуты пользователя типа объекта и вложенных объектов

Использование пользовательской учетной записи gMSA

Если вы создаете пользовательскую учетную запись gMSA, установщик установит все разрешения для пользовательской учетной записи.

Инструкции по обновлению существующего агента для использования учетной записи gMSA см . в группе управляемых учетных записей служб.

Дополнительные сведения о подготовке Active Directory для групповой управляемой учетной записи службы см. в обзоре групповых управляемых учетных записей служб.

Следующие шаги

• Общие сведения об управляемых учетных записях служб группы
• Настройка gMSA с помощью PowerShell