Group Managed Service Accounts

组托管服务帐户是一种托管的域帐户，它提供自动密码管理、简化的服务主体名称 (SPN) 管理、将管理委派给其他管理员的功能以及在多个服务器上扩展此功能。 Microsoft Entra 云同步支持并使用 gMSA 运行代理。 可以选择允许安装程序创建新帐户或指定自定义帐户。 在安装过程中，系统会提示你提供管理凭据，以便创建此帐户或设置权限（如果使用自定义帐户）。 如果安装程序创建帐户，该帐户将显示为 domain\provAgentgMSA$。 有关 gMSA 的详细信息，请参阅组托管服务帐户。

gMSA 的先决条件

• gMSA 域的林中的 Active Directory 架构需要更新到 Windows Server 2012 或更高版本。
• 域控制器上的 PowerShell RSAT 模块。
• 域中必须至少有一个域控制器运行 Windows Server 2012 或更高版本。
• 要安装代理的已加入域的服务器必须是 Windows Server 2016 或更高版本。

对 gMSA 帐户设置的权限（所有权限）

当安装程序创建 gMSA 帐户时，安装程序会将帐户权限设为“ALL”。 下表详细介绍了这些权限

MS-DS-Consistency-Guid

类型	名称	访问	应用于
Allow	<gMSA 帐户>	写入属性 mS-DS-ConsistencyGuid	后代用户对象
Allow	<gMSA 帐户>	写入属性 mS-DS-ConsistencyGuid	后代组对象

如果关联林托管在 Windows Server 2016 环境中，则它包括 NGC 密钥和 STK 密钥的以下权限。

类型	名称	访问	应用于
Allow	<gMSA 帐户>	写入属性 msDS-KeyCredentialLink	后代用户对象
Allow	<gMSA 帐户>	写入属性 msDS-KeyCredentialLink	后代设备对象

密码哈希同步

类型	名称	访问	应用于
Allow	<gMSA 帐户>	复制目录更改	仅限此对象（域根）
允许	<gMSA 帐户>	复制所有目录更改	仅限此对象（域根）

密码写回

类型	名称	访问	应用于
Allow	<gMSA 帐户>	重置密码	后代用户对象
Allow	<gMSA 帐户>	写入 lockoutTime 属性	后代用户对象
Allow	<gMSA 帐户>	写入 pwdLastSet 属性	后代用户对象
Allow	<gMSA 帐户>	使密码不过期	仅限此对象（域根）

组写回

类型	名称	访问	应用于
Allow	<gMSA 帐户>	一般读取/写入	对象类型组和子对象的所有属性
允许	<gMSA 帐户>	创建/删除子对象	对象类型组和子对象的所有属性
允许	<gMSA 帐户>	删除/删除树对象	对象类型组和子对象的所有属性

Exchange 混合部署

类型	名称	访问	应用于
Allow	<gMSA 帐户>	读取/写入所有用户属性	后代用户对象
Allow	<gMSA 帐户>	读取/写入所有用户属性	后代 InetOrgPerson 对象
Allow	<gMSA 帐户>	读取/写入所有用户属性	后代组对象
Allow	<gMSA 帐户>	读取/写入所有用户属性	后代联系人对象

Exchange 邮件公用文件夹

类型	名称	访问	应用于
Allow	<gMSA 帐户>	读取所有属性	后代 PublicFolder 对象

UserGroupCreateDelete (CloudHR)

类型	名称	访问	应用于
Allow	<gMSA 帐户>	一般写入	对象类型组和子对象的所有属性
允许	<gMSA 帐户>	创建/删除子对象	对象类型组和子对象的所有属性
允许	<gMSA 帐户>	一般写入	对象类型用户和子对象的所有属性
允许	<gMSA 帐户>	创建/删除子对象	对象类型用户和子对象的所有属性

使用自定义 gMSA 帐户

如果要创建自定义 gMSA 帐户，安装程序会将自定义帐户权限设为“ALL”。

有关如何升级现有代理以使用 gMSA 帐户的步骤，请参阅组托管服务帐户。

若要详细了解如何为组托管服务帐户准备 Active Directory，请参阅组托管服务帐户概述。

后续步骤

• 了解组托管服务帐户
• 如何使用 PowerShell 配置 gMSA