Group Managed Service Accounts

组托管服务帐户是一种托管的域帐户,它提供自动密码管理、简化的服务主体名称 (SPN) 管理、将管理委派给其他管理员的功能以及在多个服务器上扩展此功能。 Microsoft Entra 云同步支持并使用 gMSA 运行代理。 可以选择允许安装程序创建新帐户或指定自定义帐户。 在安装过程中,系统会提示你提供管理凭据,以便创建此帐户或设置权限(如果使用自定义帐户)。 如果安装程序创建帐户,该帐户将显示为 domain\provAgentgMSA$。 有关 gMSA 的详细信息,请参阅组托管服务帐户

gMSA 的先决条件

  • gMSA 域的林中的 Active Directory 架构需要更新到 Windows Server 2012 或更高版本。
  • 域控制器上的 PowerShell RSAT 模块
  • 域中必须至少有一个域控制器运行 Windows Server 2012 或更高版本。
  • 要安装代理的已加入域的服务器必须是 Windows Server 2016 或更高版本。

对 gMSA 帐户设置的权限(所有权限)

当安装程序创建 gMSA 帐户时,安装程序会将帐户权限设为“ALL”。 下表详细介绍了这些权限

MS-DS-Consistency-Guid

类型 名称 访问 应用于
Allow <gMSA 帐户> 写入属性 mS-DS-ConsistencyGuid 后代用户对象
Allow <gMSA 帐户> 写入属性 mS-DS-ConsistencyGuid 后代组对象

如果关联林托管在 Windows Server 2016 环境中,则它包括 NGC 密钥和 STK 密钥的以下权限。

类型 名称 访问 应用于
Allow <gMSA 帐户> 写入属性 msDS-KeyCredentialLink 后代用户对象
Allow <gMSA 帐户> 写入属性 msDS-KeyCredentialLink 后代设备对象

密码哈希同步

类型 名称 访问 应用于
Allow <gMSA 帐户> 复制目录更改 仅限此对象(域根)
允许 <gMSA 帐户> 复制所有目录更改 仅限此对象(域根)

密码写回

类型 名称 访问 应用于
Allow <gMSA 帐户> 重置密码 后代用户对象
Allow <gMSA 帐户> 写入 lockoutTime 属性 后代用户对象
Allow <gMSA 帐户> 写入 pwdLastSet 属性 后代用户对象
Allow <gMSA 帐户> 使密码不过期 仅限此对象(域根)

组写回

类型 名称 访问 应用于
Allow <gMSA 帐户> 一般读取/写入 对象类型组和子对象的所有属性
允许 <gMSA 帐户> 创建/删除子对象 对象类型组和子对象的所有属性
允许 <gMSA 帐户> 删除/删除树对象 对象类型组和子对象的所有属性

Exchange 混合部署

类型 名称 访问 应用于
Allow <gMSA 帐户> 读取/写入所有用户属性 后代用户对象
Allow <gMSA 帐户> 读取/写入所有用户属性 后代 InetOrgPerson 对象
Allow <gMSA 帐户> 读取/写入所有用户属性 后代组对象
Allow <gMSA 帐户> 读取/写入所有用户属性 后代联系人对象

Exchange 邮件公用文件夹

类型 名称 访问 应用于
Allow <gMSA 帐户> 读取所有属性 后代 PublicFolder 对象

UserGroupCreateDelete (CloudHR)

类型 名称 访问 应用于
Allow <gMSA 帐户> 一般写入 对象类型组和子对象的所有属性
允许 <gMSA 帐户> 创建/删除子对象 对象类型组和子对象的所有属性
允许 <gMSA 帐户> 一般写入 对象类型用户和子对象的所有属性
允许 <gMSA 帐户> 创建/删除子对象 对象类型用户和子对象的所有属性

使用自定义 gMSA 帐户

如果要创建自定义 gMSA 帐户,安装程序会将自定义帐户权限设为“ALL”

有关如何升级现有代理以使用 gMSA 帐户的步骤,请参阅组托管服务帐户

若要详细了解如何为组托管服务帐户准备 Active Directory,请参阅组托管服务帐户概述

后续步骤