Group Managed Service Accounts
组托管服务帐户是一种托管的域帐户,它提供自动密码管理、简化的服务主体名称 (SPN) 管理、将管理委派给其他管理员的功能以及在多个服务器上扩展此功能。 Microsoft Entra 云同步支持并使用 gMSA 运行代理。 可以选择允许安装程序创建新帐户或指定自定义帐户。 在安装过程中,系统会提示你提供管理凭据,以便创建此帐户或设置权限(如果使用自定义帐户)。 如果安装程序创建帐户,该帐户将显示为 domain\provAgentgMSA$
。 有关 gMSA 的详细信息,请参阅组托管服务帐户。
gMSA 的先决条件
- gMSA 域的林中的 Active Directory 架构需要更新到 Windows Server 2012 或更高版本。
- 域控制器上的 PowerShell RSAT 模块。
- 域中必须至少有一个域控制器运行 Windows Server 2012 或更高版本。
- 要安装代理的已加入域的服务器必须是 Windows Server 2016 或更高版本。
对 gMSA 帐户设置的权限(所有权限)
当安装程序创建 gMSA 帐户时,安装程序会将帐户权限设为“ALL”。 下表详细介绍了这些权限
MS-DS-Consistency-Guid
类型 |
名称 |
访问 |
应用于 |
Allow |
<gMSA 帐户> |
写入属性 mS-DS-ConsistencyGuid |
后代用户对象 |
Allow |
<gMSA 帐户> |
写入属性 mS-DS-ConsistencyGuid |
后代组对象 |
如果关联林托管在 Windows Server 2016 环境中,则它包括 NGC 密钥和 STK 密钥的以下权限。
类型 |
名称 |
访问 |
应用于 |
Allow |
<gMSA 帐户> |
写入属性 msDS-KeyCredentialLink |
后代用户对象 |
Allow |
<gMSA 帐户> |
写入属性 msDS-KeyCredentialLink |
后代设备对象 |
密码哈希同步
类型 |
名称 |
访问 |
应用于 |
Allow |
<gMSA 帐户> |
复制目录更改 |
仅限此对象(域根) |
允许 |
<gMSA 帐户> |
复制所有目录更改 |
仅限此对象(域根) |
密码写回
类型 |
名称 |
访问 |
应用于 |
Allow |
<gMSA 帐户> |
重置密码 |
后代用户对象 |
Allow |
<gMSA 帐户> |
写入 lockoutTime 属性 |
后代用户对象 |
Allow |
<gMSA 帐户> |
写入 pwdLastSet 属性 |
后代用户对象 |
Allow |
<gMSA 帐户> |
使密码不过期 |
仅限此对象(域根) |
组写回
类型 |
名称 |
访问 |
应用于 |
Allow |
<gMSA 帐户> |
一般读取/写入 |
对象类型组和子对象的所有属性 |
允许 |
<gMSA 帐户> |
创建/删除子对象 |
对象类型组和子对象的所有属性 |
允许 |
<gMSA 帐户> |
删除/删除树对象 |
对象类型组和子对象的所有属性 |
Exchange 混合部署
类型 |
名称 |
访问 |
应用于 |
Allow |
<gMSA 帐户> |
读取/写入所有用户属性 |
后代用户对象 |
Allow |
<gMSA 帐户> |
读取/写入所有用户属性 |
后代 InetOrgPerson 对象 |
Allow |
<gMSA 帐户> |
读取/写入所有用户属性 |
后代组对象 |
Allow |
<gMSA 帐户> |
读取/写入所有用户属性 |
后代联系人对象 |
Exchange 邮件公用文件夹
类型 |
名称 |
访问 |
应用于 |
Allow |
<gMSA 帐户> |
读取所有属性 |
后代 PublicFolder 对象 |
UserGroupCreateDelete (CloudHR)
类型 |
名称 |
访问 |
应用于 |
Allow |
<gMSA 帐户> |
一般写入 |
对象类型组和子对象的所有属性 |
允许 |
<gMSA 帐户> |
创建/删除子对象 |
对象类型组和子对象的所有属性 |
允许 |
<gMSA 帐户> |
一般写入 |
对象类型用户和子对象的所有属性 |
允许 |
<gMSA 帐户> |
创建/删除子对象 |
对象类型用户和子对象的所有属性 |
使用自定义 gMSA 帐户
如果要创建自定义 gMSA 帐户,安装程序会将自定义帐户权限设为“ALL”。
有关如何升级现有代理以使用 gMSA 帐户的步骤,请参阅组托管服务帐户。
若要详细了解如何为组托管服务帐户准备 Active Directory,请参阅组托管服务帐户概述。
后续步骤