Dela via


Grupphanterade tjänstkonton

Ett grupphanterat tjänstkonto är ett hanterat domänkonto som tillhandahåller automatisk lösenordshantering, förenklad SPN-hantering (Service Principal Name), möjligheten att delegera hanteringen till andra administratörer och som även utökar den här funktionen över flera servrar. Microsoft Entra Cloud Sync stöder och använder en gMSA för att köra agenten. Du kan välja att låta installationsprogrammet skapa ett nytt konto eller ange ett anpassat konto. Du uppmanas att ange administrativa autentiseringsuppgifter under installationen för att skapa det här kontot eller ange behörigheter om du använder ett anpassat konto. Om installationsprogrammet skapar kontot visas kontot som domain\provAgentgMSA$. Mer information om en gMSA finns i gruppen Hanterade tjänstkonton.

Krav för gMSA

  • Active Directory-schemat i gMSA-domänens skog måste uppdateras till Windows Server 2012 eller senare.
  • PowerShell RSAT-moduler på en domänkontrollant.
  • Minst en domänkontrollant i domänen måste köra Windows Server 2012 eller senare.
  • En domänansluten server där agenten installeras måste vara antingen Windows Server 2016 eller senare.

Behörigheter som angetts för ett gMSA-konto (ALLA behörigheter)

När installationsprogrammet skapar gMSA-kontot ställer det in ALLA behörigheter för kontot. Följande tabeller beskriver dessa behörigheter

MS-DS-Consistency-Guid

Typ Name Tillgång Gäller för
Tillåt <gmsa-konto> Skriv egenskapen mS-DS-ConsistencyGuid Underordnade användarobjekt
Tillåt <gmsa-konto> Skriv egenskapen mS-DS-ConsistencyGuid Underordnade gruppobjekt

Om den associerade skogen finns i en Windows Server 2016-miljö innehåller den följande behörigheter för NGC-nycklar och STK-nycklar.

Typ Name Tillgång Gäller för
Tillåt <gmsa-konto> Skriv egenskapen msDS-KeyCredentialLink Underordnade användarobjekt
Tillåt <gmsa-konto> Skriv egenskapen msDS-KeyCredentialLink Underordnade enhetsobjekt

Hash-synkronisering av lösenord

Typ Name Tillgång Gäller för
Tillåt <gmsa-konto> Replikera katalogändringar Endast det här objektet (domänrot)
Tillåt <gmsa-konto> Replikera alla katalogändringar Endast det här objektet (domänrot)

Tillbakaskrivning av lösenord

Typ Name Åtkomst Gäller för
Tillåt <gmsa-konto> Återställ lösenord Underordnade användarobjekt
Tillåt <gmsa-konto> Skriv egenskap lockoutTime Underordnade användarobjekt
Tillåt <gmsa-konto> Skriv egenskapen pwdLastSet Underordnade användarobjekt
Tillåt <gmsa-konto> Ta bort lösenord Endast det här objektet (domänrot)

Gruppåterställning

Typ Name Åtkomst Gäller för
Tillåt <gmsa-konto> Allmän läsning/skrivning Alla attribut för objekttypsgrupp och underobjekt
Tillåt <gmsa-konto> Skapa/ta bort underordnat objekt Alla attribut för objekttypsgrupp och underobjekt
Tillåt <gmsa-konto> Ta bort/ta bort trädobjekt Alla attribut för objekttypsgrupp och underobjekt

Exchange-hybridinstallation

Typ Name Tillgång Gäller för
Tillåt <gmsa-konto> Läs/skriv alla egenskaper Underordnade användarobjekt
Tillåt <gmsa-konto> Läs/skriv alla egenskaper Underordnade InetOrgPerson-objekt
Tillåt <gmsa-konto> Läs/skriv alla egenskaper Underordnade gruppobjekt
Tillåt <gmsa-konto> Läs/skriv alla egenskaper Underordnade kontaktobjekt

Gemensamma mappar för Exchange-e-post

Typ Name Åtkomst Gäller för
Tillåt <gmsa-konto> Läs alla egenskaper Underordnade PublicFolder-objekt

SkapaRaderaAnvändargrupp (CloudHR)

Typ Name Åtkomst Gäller för
Tillåt <gmsa-konto> Generisk skrivoperation Alla attribut för objekttypsgrupp och underobjekt
Tillåt <gmsa-konto> Skapa/Ta bort underordnat objekt Alla attribut för objekttypsgrupp och underobjekt
Tillåt <gmsa-konto> Allmän skrivning Alla attribut för objekttypanvändare och underobjekt
Tillåt <gmsa-konto> Skapa/ta bort underordnat objekt Alla attribut för objekttypanvändare och underobjekt

Använda ett anpassat gMSA-konto

Om du skapar ett anpassat gMSA-konto anger installationsprogrammet alla behörigheter för det anpassade kontot.

Anvisningar om hur du uppgraderar en befintlig agent för att använda ett gMSA-konto finns i gruppen Hanterade tjänstkonton.

Mer information om hur du förbereder din Active Directory för grupphanterat tjänstkonto finns i översikt över grupphanterade tjänstkonton.

Nästa steg