Grupphanterade tjänstkonton
Artikel 03/12/2025
4 deltagare
Feedback
I den här artikeln
Ett grupphanterat tjänstkonto är ett hanterat domänkonto som tillhandahåller automatisk lösenordshantering, förenklad SPN-hantering (Service Principal Name), möjligheten att delegera hanteringen till andra administratörer och som även utökar den här funktionen över flera servrar. Microsoft Entra Cloud Sync stöder och använder en gMSA för att köra agenten. Du kan välja att låta installationsprogrammet skapa ett nytt konto eller ange ett anpassat konto. Du uppmanas att ange administrativa autentiseringsuppgifter under installationen för att skapa det här kontot eller ange behörigheter om du använder ett anpassat konto. Om installationsprogrammet skapar kontot visas kontot som domain\provAgentgMSA$
. Mer information om en gMSA finns i gruppen Hanterade tjänstkonton .
Krav för gMSA
Active Directory-schemat i gMSA-domänens skog måste uppdateras till Windows Server 2012 eller senare.
PowerShell RSAT-moduler på en domänkontrollant.
Minst en domänkontrollant i domänen måste köra Windows Server 2012 eller senare.
En domänansluten server där agenten installeras måste vara antingen Windows Server 2016 eller senare.
Behörigheter som angetts för ett gMSA-konto (ALLA behörigheter)
När installationsprogrammet skapar gMSA-kontot ställer det in ALLA behörigheter för kontot. Följande tabeller beskriver dessa behörigheter
MS-DS-Consistency-Guid
Typ
Name
Tillgång
Gäller för
Tillåt
<gmsa-konto>
Skriv egenskapen mS-DS-ConsistencyGuid
Underordnade användarobjekt
Tillåt
<gmsa-konto>
Skriv egenskapen mS-DS-ConsistencyGuid
Underordnade gruppobjekt
Om den associerade skogen finns i en Windows Server 2016-miljö innehåller den följande behörigheter för NGC-nycklar och STK-nycklar.
Typ
Name
Tillgång
Gäller för
Tillåt
<gmsa-konto>
Skriv egenskapen msDS-KeyCredentialLink
Underordnade användarobjekt
Tillåt
<gmsa-konto>
Skriv egenskapen msDS-KeyCredentialLink
Underordnade enhetsobjekt
Hash-synkronisering av lösenord
Typ
Name
Tillgång
Gäller för
Tillåt
<gmsa-konto>
Replikera katalogändringar
Endast det här objektet (domänrot)
Tillåt
<gmsa-konto>
Replikera alla katalogändringar
Endast det här objektet (domänrot)
Tillbakaskrivning av lösenord
Typ
Name
Åtkomst
Gäller för
Tillåt
<gmsa-konto>
Återställ lösenord
Underordnade användarobjekt
Tillåt
<gmsa-konto>
Skriv egenskap lockoutTime
Underordnade användarobjekt
Tillåt
<gmsa-konto>
Skriv egenskapen pwdLastSet
Underordnade användarobjekt
Tillåt
<gmsa-konto>
Ta bort lösenord
Endast det här objektet (domänrot)
Gruppåterställning
Typ
Name
Åtkomst
Gäller för
Tillåt
<gmsa-konto>
Allmän läsning/skrivning
Alla attribut för objekttypsgrupp och underobjekt
Tillåt
<gmsa-konto>
Skapa/ta bort underordnat objekt
Alla attribut för objekttypsgrupp och underobjekt
Tillåt
<gmsa-konto>
Ta bort/ta bort trädobjekt
Alla attribut för objekttypsgrupp och underobjekt
Exchange-hybridinstallation
Typ
Name
Tillgång
Gäller för
Tillåt
<gmsa-konto>
Läs/skriv alla egenskaper
Underordnade användarobjekt
Tillåt
<gmsa-konto>
Läs/skriv alla egenskaper
Underordnade InetOrgPerson-objekt
Tillåt
<gmsa-konto>
Läs/skriv alla egenskaper
Underordnade gruppobjekt
Tillåt
<gmsa-konto>
Läs/skriv alla egenskaper
Underordnade kontaktobjekt
Gemensamma mappar för Exchange-e-post
Typ
Name
Åtkomst
Gäller för
Tillåt
<gmsa-konto>
Läs alla egenskaper
Underordnade PublicFolder-objekt
SkapaRaderaAnvändargrupp (CloudHR)
Typ
Name
Åtkomst
Gäller för
Tillåt
<gmsa-konto>
Generisk skrivoperation
Alla attribut för objekttypsgrupp och underobjekt
Tillåt
<gmsa-konto>
Skapa/Ta bort underordnat objekt
Alla attribut för objekttypsgrupp och underobjekt
Tillåt
<gmsa-konto>
Allmän skrivning
Alla attribut för objekttypanvändare och underobjekt
Tillåt
<gmsa-konto>
Skapa/ta bort underordnat objekt
Alla attribut för objekttypanvändare och underobjekt
Använda ett anpassat gMSA-konto
Om du skapar ett anpassat gMSA-konto anger installationsprogrammet alla behörigheter för det anpassade kontot.
Anvisningar om hur du uppgraderar en befintlig agent för att använda ett gMSA-konto finns i gruppen Hanterade tjänstkonton .
Mer information om hur du förbereder din Active Directory för grupphanterat tjänstkonto finns i översikt över grupphanterade tjänstkonton.
Nästa steg