Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Un compte de service managé de groupe est un compte de domaine managé qui fournit la gestion automatique des mots de passe, la gestion simplifiée du nom de principal du service (SPN) et la possibilité de déléguer la gestion à d’autres administrateurs. Par ailleurs, cette fonctionnalité s’étend sur plusieurs serveurs. Microsoft Entra Cloud Sync prend en charge l'utilisation d'un gMSA pour l'exécution de l'agent. Vous pouvez choisir d’autoriser le programme d’installation à créer un compte ou à spécifier un compte personnalisé. Vous serez invité à fournir des informations d’identification d’administration lors de l’installation pour créer ce compte ou à définir des autorisations si vous utilisez un compte personnalisé. Si le programme d’installation crée le compte, le compte apparaît sous la forme domain\provAgentgMSA$. Pour plus d’informations sur un gMSA, consultez Comptes de service géré de groupe
Prérequis pour gMSA
- Le schéma Active Directory dans la forêt du domaine gMSA doit être mis à jour vers Windows Server 2012 ou version ultérieure.
- Les modules RSAT PowerShell sur un contrôleur de domaine
- Au moins un contrôleur de domaine dans le domaine doit exécuter Windows Server 2012 ou version ultérieure.
- Serveur joint à un domaine qui exécute Windows Server 2022, Windows Server 2019 ou Windows Server 2016 pour l’installation de l’agent.
Autorisations définies sur un compte gMSA (TOUTES les autorisations)
Lorsque le programme d’installation crée le compte gMSA, il définit TOUTES les autorisations sur le compte. Les tableaux suivants détaillent ces autorisations
MS-DS-Consistency-Guid
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Autoriser | <Compte gMSA> | Propriété d’écriture mS-DS-ConsistencyGuid | Objets utilisateur descendants |
| Autoriser | <Compte gMSA> | Propriété d’écriture mS-DS-ConsistencyGuid | Objets groupe descendants |
Si la forêt associée est hébergée dans un environnement Windows Server 2016, elle inclut les autorisations suivantes pour les clés NGC et les clés STK.
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Autoriser | <Compte gMSA> | Propriété d’écriture msDS-KeyCredentialLink | Objets utilisateur descendants |
| Autoriser | <Compte gMSA> | Propriété d’écriture msDS-KeyCredentialLink | Objets appareil descendants |
Synchronisation de hachage de mot de passe
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Autoriser | <Compte gMSA> | Réplication des modifications d’annuaire | Cet objet uniquement (racine du domaine) |
| Autoriser | <Compte gMSA> | Réplication de tous les changements d’annuaire | Cet objet uniquement (racine du domaine) |
Réécriture du mot de passe
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Autoriser | <Compte gMSA> | Réinitialiser le mot de passe | Objets utilisateur descendants |
| Autoriser | <Compte gMSA> | Propriété d'écriture lockoutTime | Objets utilisateur descendants |
| Autoriser | <Compte gMSA> | Définir la propriété pwdLastSet | Objets utilisateur descendants |
| Autoriser | <Compte gMSA> | Ne pas faire expirer le mot de passe | Cet objet uniquement (racine du domaine) |
Réécriture de groupe
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Autoriser | <Compte gMSA> | Lecture/Écriture générique | Tous les attributs d’un groupe de types d’objets et des sous-objets |
| Autoriser | <Compte gMSA> | Création/Suppression de l’objet enfant | Tous les attributs d’un groupe de types d’objets et des sous-objets |
| Autoriser | <Compte gMSA> | Suppression/Suppression d’objets d’arborescence | Tous les attributs d’un groupe de types d’objets et des sous-objets |
Déploiement Exchange hybride
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Autoriser | <Compte gMSA> | Lecture/écriture de toutes les propriétés | Objets utilisateur descendants |
| Autoriser | <Compte gMSA> | Lecture/écriture de toutes les propriétés | Objets InetOrgPerson descendants |
| Autoriser | <Compte gMSA> | Lecture/écriture de toutes les propriétés | Objets de groupe descendants |
| Autoriser | <Compte gMSA> | Lecture/écriture de toutes les propriétés | Objets de contact descendants |
Dossiers publics de messagerie Exchange
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Autoriser | <Compte gMSA> | Lire toutes les propriétés | Objets PublicFolder descendants |
UserGroupCreateDelete (CloudHR)
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Autoriser | <Compte gMSA> | Écriture générique | Tous les attributs d’un groupe de types d’objets et des sous-objets |
| Autoriser | <Compte gMSA> | Création/Suppression de l’objet enfant | Tous les attributs d’un groupe de types d’objets et des sous-objets |
| Autoriser | <Compte gMSA> | Écriture générique | Tous les attributs d’un utilisateur de types d’objets et des sous-objets |
| Autoriser | <Compte gMSA> | Création/Suppression de l’objet enfant | Tous les attributs d’un utilisateur de types d’objets et des sous-objets |
Utilisation d’un compte gMSA personnalisé
Si vous créez un compte gMSA personnalisé, le programme d’installation définit TOUTES les autorisations sur le compte personnalisé.
Pour connaître les étapes de la mise à niveau d’un agent existant afin d’utiliser un compte gMSA, consultez Comptes de service managés de groupe.
Pour plus d’informations sur la préparation de votre annuaire Active Directory pour le compte de service managé de groupe, consultez Vue d’ensemble des comptes de service managés de groupe.