Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Uma Conta de Serviço Gerenciado de grupo é uma conta de domínio gerenciado que fornece gerenciamento automático de senhas, gerenciamento simplificado de SPN (nome da entidade de serviço), a capacidade de delegar o gerenciamento a outros administradores e também estende essa funcionalidade a vários servidores. O Microsoft Entra Cloud Sync suporta e usa um gMSA para executar o agente. Você pode optar por permitir que o instalador crie uma nova conta ou especifique uma conta personalizada. Você será solicitado a fornecer credenciais administrativas durante a instalação, a fim de criar essa conta ou definir permissões se estiver usando uma conta personalizada. Se o instalador criar a conta, a conta aparecerá como domain\provAgentgMSA$. Para obter mais informações sobre um gMSA, consulte Contas de Serviço Gerido de Grupo.
Pré-requisitos para gMSA
- O esquema do Ative Directory na floresta do domínio gMSA precisa ser atualizado para o Windows Server 2012 ou posterior.
- Módulos RSAT do PowerShell num controlador de domínio.
- Pelo menos um controlador de domínio no domínio deve estar executando o Windows Server 2012 ou posterior.
- Um servidor associado a um domínio que executa o Windows Server 2022, Windows Server 2019 ou Windows Server 2016 para a instalação do agente.
Permissões definidas em uma conta gMSA (TODAS as permissões)
Quando o instalador cria a conta gMSA, ele define TODAS as permissões na conta. As tabelas a seguir detalham essas permissões
MS-DS-Consistência-GUID
| Tipo | Nome | Acesso | Aplica-se a |
|---|---|---|---|
| Permitir | <Conta de GMSA> | Escrever propriedade mS-DS-ConsistencyGuid | Objetos de usuário descendentes |
| Permitir | <Conta de GMSA> | Escrever propriedade mS-DS-ConsistencyGuid | Objetos de grupo descendentes |
Se a floresta associada estiver hospedada em um ambiente do Windows Server 2016, ela incluirá as seguintes permissões para chaves NGC e STK.
| Tipo | Nome | Acesso | Aplica-se a |
|---|---|---|---|
| Permitir | <Conta de GMSA> | Escrever propriedade msDS-KeyCredentialLink | Objetos de usuário descendentes |
| Permitir | <Conta de GMSA> | Escrever propriedade msDS-KeyCredentialLink | Objetos de dispositivo descendentes |
Sincronização do Hash de Palavras-passe
| Tipo | Nome | Acesso | Aplica-se a |
|---|---|---|---|
| Permitir | <Conta de GMSA> | Replicando alterações de diretório | Somente este objeto (raiz do domínio) |
| Permitir | <Conta de GMSA> | Replicando todas as alterações de diretório | Somente este objeto (raiz do domínio) |
Reversão de Senha
| Tipo | Nome | Acesso | Aplica-se a |
|---|---|---|---|
| Permitir | <Conta de GMSA> | Redefinir Palavra-passe | Objetos de usuário descendente |
| Permitir | <Conta de GMSA> | Escrever propriedade tempo de bloqueio | Objetos de usuário descendente |
| Permitir | <Conta de GMSA> | Escrever propriedade pwdLastSet | Objetos de usuário descendente |
| Permitir | <Conta de GMSA> | Cancelar Expiração da Senha | Somente este objeto (raiz do domínio) |
Repetição de Escrita do Grupo
| Tipo | Nome | Acesso | Aplica-se a |
|---|---|---|---|
| Permitir | <Conta de GMSA> | Leitura/Escrita Genérica | Todos os atributos do grupo do tipo de objeto e dos subobjetos |
| Permitir | <Conta de GMSA> | Criar/Eliminar objeto filho | Todos os atributos do grupo do tipo de objeto e dos subobjetos |
| Permitir | <Conta de GMSA> | Eliminar/Excluir objetos da árvore | Todos os atributos do grupo do tipo de objeto e dos subobjetos |
Implementação Híbrida do Exchange
| Tipo | Nome | Acesso | Aplica-se a |
|---|---|---|---|
| Permitir | <Conta de GMSA> | Ler/gravar todas as propriedades | Objetos de usuário descendente |
| Permitir | <Conta de GMSA> | Ler/gravar todas as propriedades | Descendentes dos objetos InetOrgPerson |
| Permitir | <Conta de GMSA> | Ler/gravar todas as propriedades | Objetos do Grupo Descendente |
| Permitir | <Conta de GMSA> | Ler/gravar todas as propriedades | Objetos de contacto descendentes |
Pastas Públicas de Correio do Exchange
| Tipo | Nome | Acesso | Aplica-se a |
|---|---|---|---|
| Permitir | <Conta de GMSA> | Ler todos os imóveis | Objetos PublicFolder descendentes |
CriarEliminarGrupoDeUtilizadores (CloudHR)
| Tipo | Nome | Acesso | Aplica-se a |
|---|---|---|---|
| Permitir | <Conta de GMSA> | Escrita genérica | Todos os atributos do grupo do tipo de objeto e dos subobjetos |
| Permitir | <Conta de GMSA> | Criar/Eliminar objeto filho | Todos os atributos do grupo do tipo de objeto e dos subobjetos |
| Permitir | <Conta de GMSA> | Escrita genérica | Todos os atributos do tipo de objeto usuário e subobjetos |
| Permitir | <Conta de GMSA> | Criar/Eliminar objeto filho | Todos os atributos do tipo de objeto usuário e subobjetos |
Usando uma conta gMSA personalizada
Se você estiver criando uma conta gMSA personalizada, o instalador definirá as permissões ALL na conta personalizada.
Para conhecer as etapas sobre como atualizar um agente existente para usar uma conta gMSA, consulte Contas de serviço gerenciado do grupo.
Para obter mais informações sobre como preparar o Ative Directory para a Conta de Serviço Gerenciado do grupo, consulte Visão geral das Contas de Serviço Gerenciado do grupo.