Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein gruppenverwaltetes Dienstkonto ist ein verwaltetes Domänenkonto, das eine automatische Kennwortverwaltung, eine vereinfachte Verwaltung von Dienstprinzipalnamen (Service Principal Name, SPN) und die Möglichkeit bietet, die Verwaltung an andere Administratoren zu delegieren, wobei diese Funktionalität auch auf mehrere Server erweitert werden kann. Die Microsoft Entra-Cloudsynchronisierung unterstützt und verwendet ein gMSA zum Ausführen des Agents. Sie können dem Installationsprogramm das Erstellen eines neuen Kontos oder das Angeben eines benutzerdefinierten Kontos gestatten. Sie werden während des Setups zur Eingabe von Administratoranmeldeinformationen aufgefordert, um dieses Konto zu erstellen oder Berechtigungen festzulegen, falls Sie ein benutzerdefiniertes Konto verwenden. Wenn das Installationsprogramm das Konto erstellt, wird das Konto als domain\provAgentgMSA$ angezeigt. Weitere Informationen zu einem gMSA finden Sie unter Gruppenverwaltete Dienstkonten.
Voraussetzungen für das gMSA
- Das Active Directory-Schema in der Gesamtstruktur der gMSA-Domäne muss auf Windows Server 2012 oder höher aktualisiert werden.
- PowerShell-RSAT-Module auf einem Domänencontroller.
- Auf mindestens einem Domänencontroller in der Domäne muss Windows Server 2012 oder höher ausgeführt werden.
- Ein in die Domäne eingebundener Server, der Windows Server 2022, Windows Server 2019 oder Windows Server 2016 für die Agentinstallation ausführt.
Für ein gMSA festgelegte Berechtigungen (ALLE Berechtigungen)
Wenn das Installationsprogramm das gMSA erstellt, werden ALLE Berechtigungen für das Konto festgelegt. In den folgenden Tabellen werden diese Berechtigungen ausführlich beschrieben.
MS-DS-Consistency-Guid
| type | Name | Zugriff | Gilt für |
|---|---|---|---|
| Allow | <gMSA-Konto> | Schreibeigenschaft „mS-DS-ConsistencyGuid“ | Nachfolger-Benutzerobjekte |
| Allow | <gMSA-Konto> | Schreibeigenschaft „mS-DS-ConsistencyGuid“ | Nachfolger-Gruppenobjekte |
Wenn die zugeordnete Gesamtstruktur in einer Windows Server 2016-Umgebung gehostet wird, enthält sie die folgenden Berechtigungen für NGC-Schlüssel und STK-Schlüssel.
| type | Name | Zugriff | Gilt für |
|---|---|---|---|
| Allow | <gMSA-Konto> | Schreibeigenschaft „msDS-KeyCredentialLink“ | Nachfolger-Benutzerobjekte |
| Allow | <gMSA-Konto> | Schreibeigenschaft „msDS-KeyCredentialLink“ | Nachfolger-Geräteobjekte |
Kennworthashsynchronisierung
| type | Name | Zugriff | Gilt für |
|---|---|---|---|
| Allow | <gMSA-Konto> | Replizieren von Verzeichnisänderungen | Nur dieses Objekt (Domänenstamm) |
| Allow | <gMSA-Konto> | Replizieren von Verzeichnisänderungen: Alle | Nur dieses Objekt (Domänenstamm) |
Rückschreiben von Kennwörtern
| type | Name | Zugriff | Gilt für |
|---|---|---|---|
| Allow | <gMSA-Konto> | Kennwort zurücksetzen | Nachfolger-Benutzerobjekte |
| Allow | <gMSA-Konto> | Schreiben für Eigenschaft „LockoutTime“ | Nachfolger-Benutzerobjekte |
| Allow | <gMSA-Konto> | Schreiben für Eigenschaft „pwdLastSet“ | Nachfolger-Benutzerobjekte |
| Allow | <gMSA-Konto> | Abgelaufenes Kennwort wiederherstellen | Nur dieses Objekt (Domänenstamm) |
Gruppenrückschreiben
| type | Name | Zugriff | Gilt für |
|---|---|---|---|
| Allow | <gMSA-Konto> | Generisches Lesen/Schreiben | Alle Attribute einer Objekttypgruppe und von Unterobjekten |
| Allow | <gMSA-Konto> | Erstellen/Löschen von untergeordneten Objekten | Alle Attribute einer Objekttypgruppe und von Unterobjekten |
| Allow | <gMSA-Konto> | Löschen/Löschen von Strukturobjekten | Alle Attribute einer Objekttypgruppe und von Unterobjekten |
Exchange-Hybridbereitstellung
| type | Name | Zugriff | Gilt für |
|---|---|---|---|
| Allow | <gMSA-Konto> | Lesen/Schreiben für alle Eigenschaften | Nachfolger-Benutzerobjekte |
| Allow | <gMSA-Konto> | Lesen/Schreiben für alle Eigenschaften | Nachfolger-InetOrgPerson-Objekte |
| Allow | <gMSA-Konto> | Lesen/Schreiben für alle Eigenschaften | Nachfolger-Gruppenobjekte |
| Allow | <gMSA-Konto> | Lesen/Schreiben für alle Eigenschaften | Nachfolger-Kontaktobjekte |
Öffentliche Exchange-E-Mail-Ordner
| type | Name | Zugriff | Gilt für |
|---|---|---|---|
| Allow | <gMSA-Konto> | Alle Eigenschaften lesen | Nachfolger-PublicFolder-Objekte |
UserGroupCreateDelete (CloudHR)
| type | Name | Zugriff | Gilt für |
|---|---|---|---|
| Allow | <gMSA-Konto> | Generischer Schreibzugriff | Alle Attribute einer Objekttypgruppe und von Unterobjekten |
| Allow | <gMSA-Konto> | Erstellen/Löschen von untergeordneten Objekten | Alle Attribute einer Objekttypgruppe und von Unterobjekten |
| Allow | <gMSA-Konto> | Generischer Schreibzugriff | Alle Attribute eines Objekttypbenutzers und von Unterobjekten |
| Allow | <gMSA-Konto> | Erstellen/Löschen von untergeordneten Objekten | Alle Attribute eines Objekttypbenutzers und von Unterobjekten |
Verwenden eines benutzerdefinierten gMSA
Wenn Sie ein benutzerdefiniertes gMSA-Konto erstellen, legt das Installationsprogramm die Berechtigungen ALLE für das benutzerdefinierte Konto fest.
Die Schritte zum Aktualisieren eines vorhandenen Agents für die Verwendung eines gMSA-Kontos finden Sie unter Gruppenverwaltete Dienstkonten.
Weitere Informationen zum Vorbereiten von Active Directory für gruppenverwaltete Dienstkonten finden Sie unter Gruppenverwaltete Dienstkonten: Übersicht.