Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Een beheerd serviceaccount voor groepen is een beheerd domeinaccount dat automatisch wachtwoordbeheer, vereenvoudigd SPN-beheer (Service Principal Name) biedt, de mogelijkheid om het beheer te delegeren aan andere beheerders en deze functionaliteit ook uitbreidt via meerdere servers. Microsoft Entra Cloud Sync ondersteunt en gebruikt een gMSA voor het uitvoeren van de agent. U kunt ervoor kiezen om het installatieprogramma toe te staan een nieuw account te maken of een aangepast account op te geven. U wordt tijdens de installatie gevraagd om beheerderstoegang om dit account te maken of rechten in te stellen als u een aangepast account gebruikt. Als het installatieprogramma het account maakt, wordt het account weergegeven als domain\provAgentgMSA$. Voor meer informatie over een gMSA, zie groepsbeheer-serviceaccounts.
Vereisten voor gMSA
- Het Active Directory-schema in het forest van het gMSA-domein moet worden bijgewerkt naar Windows Server 2012 of hoger.
- PowerShell RSAT-modules op een domeincontroller.
- Op ten minste één domeincontroller in het domein moet Windows Server 2012 of hoger worden uitgevoerd.
- Een server die lid is van een domein waarop Windows Server 2022, Windows Server 2019 of Windows Server 2016 wordt uitgevoerd voor de installatie van de agent.
Machtigingen ingesteld voor een gMSA-account (ALLE machtigingen)
Wanneer het installatieprogramma het gMSA-account maakt, stelt het ALLE machtigingen voor het account in. In de volgende tabellen worden deze machtigingen beschreven
MS-DS-Consistency-Guid
| Typologie | Naam | Toegang | Van toepassing op |
|---|---|---|---|
| Toestaan | <gmsa-account> | Eigenschap mS-DS-ConsistencyGuid schrijven | Afgeleide gebruikersobjecten |
| Toestaan | <gmsa-account> | Eigenschap mS-DS-ConsistencyGuid schrijven | Onderliggende groepsobjecten |
Als het bijbehorende forest wordt gehost in een Windows Server 2016-omgeving, bevat het de volgende machtigingen voor NGC-sleutels en STK-sleutels.
| Typologie | Naam | Toegang | Van toepassing op |
|---|---|---|---|
| Toestaan | <gmsa-account> | Eigenschap msDS-KeyCredentialLink schrijven | Afgeleide gebruikersobjecten |
| Toestaan | <gmsa-account> | Eigenschap msDS-KeyCredentialLink schrijven | Onderliggende apparaatobjecten |
Wachtwoordhashsynchronisatie
| Typologie | Naam | Toegang | Van toepassing op |
|---|---|---|---|
| Toestaan | <gmsa-account> | Directorywijzigingen repliceren | Alleen dit object (domeinhoofdmap) |
| Toestaan | <gmsa-account> | Alle wijzigingen in de directory repliceren | Alleen dit object (domeinhoofdmap) |
Wachtwoord terugschrijven
| Typologie | Naam | Toegang | Van toepassing op |
|---|---|---|---|
| Toestaan | <gmsa-account> | Wachtwoord opnieuw instellen | Onderliggende gebruikersobjecten |
| Toestaan | <gmsa-account> | Schrijf eigenschap lockoutTime | Onderliggende gebruikersobjecten |
| Toestaan | <gmsa-account> | Schrijf eigenschap pwdLastSet | Onderliggende gebruikersobjecten |
| Toestaan | <gmsa-account> | Wachtwoord heractiveren | Alleen dit object (domeinhoofdmap) |
Write-back van groep
| Typologie | Naam | Toegang | Van toepassing op |
|---|---|---|---|
| Toestaan | <gmsa-account> | Algemeen Lezen/Schrijven | Alle kenmerken van objecttypegroep en subobjecten |
| Toestaan | <gmsa-account> | Kindobject maken/verwijderen | Alle kenmerken van objecttypegroep en subobjecten |
| Toestaan | <gmsa-account> | Structuurobjecten verwijderen/boomstructuur verwijderen | Alle kenmerken van objecttypegroep en subobjecten |
Hybride implementatie voor Exchange
| Typologie | Naam | Toegang | Van toepassing op |
|---|---|---|---|
| Toestaan | <gmsa-account> | Alle eigenschappen lezen/schrijven | Onderliggende gebruikersobjecten |
| Toestaan | <gmsa-account> | Alle eigenschappen lezen/schrijven | Afgeleide InetOrgPerson-objecten |
| Toestaan | <gmsa-account> | Alle eigenschappen lezen/schrijven | Afstammende groepsobjecten |
| Toestaan | <gmsa-account> | Alle eigenschappen lezen/schrijven | Afstammende contactobjecten |
Openbare e-mailmappen van Exchange
| Typologie | Naam | Toegang | Van toepassing op |
|---|---|---|---|
| Toestaan | <gmsa-account> | Alle eigenschappen lezen | Onderliggende PublicFolder-objecten |
GebruikersgroepAanmakenVerwijderen (CloudHR)
| Typologie | Naam | Toegang | Van toepassing op |
|---|---|---|---|
| Toestaan | <gmsa-account> | Generiek schrijven | Alle kenmerken van objecttypegroep en subobjecten |
| Toestaan | <gmsa-account> | Kindobject maken/verwijderen | Alle kenmerken van objecttypegroep en subobjecten |
| Toestaan | <gmsa-account> | Generiek schrijven | Alle kenmerken van het objecttype gebruiker en subobjecten |
| Toestaan | <gmsa-account> | Kindobject maken/verwijderen | Alle kenmerken van het objecttype gebruiker en subobjecten |
Een aangepast gMSA-account gebruiken
Als u een aangepast gMSA-account maakt, stelt het installatieprogramma alle machtigingen voor het aangepaste account in.
Voor de stappen om een bestaande software-agent te upgraden om een gMSA-account te gebruiken, zie Groeps Beheerde Serviceaccounts.
Zie het overzicht van beheerde serviceaccounts voor groepen voor meer informatie over het voorbereiden van uw Active Directory voor het beheerde serviceaccount van de groep.