Condividi tramite

Account del servizio gestito di gruppo

  • Articolo

Un account del servizio gestito di gruppo è un account di dominio gestito che fornisce la gestione automatica delle password, la gestione semplificata del nome dell'entità servizio (SPN), la possibilità di delegare la gestione ad altri amministratori e di estendere questa funzionalità su più server. La sincronizzazione cloud di Microsoft Entra supporta e usa un account dei servizi gestiti del gruppo (gMSA) per l'esecuzione dell'agente. È possibile scegliere di consentire al programma di installazione di creare un nuovo account o specificare un account personalizzato. Durante l'installazione verranno richieste le credenziali amministrative per creare questo account o impostare le autorizzazioni se si usa un account personalizzato. Se il programma di installazione crea l'account, l'account viene visualizzato come domain\provAgentgMSA$. Per altre informazioni su un gMSA, vedere: Account del servizio gestiti del gruppo

Prerequisiti per gMSA

  • Lo schema di Active Directory nell'insieme di strutture del dominio gMSA deve essere aggiornato a Windows Server 2012 o versione successiva.
  • Moduli RSAT di PowerShell su un controller di dominio.
  • Almeno un controller di dominio nel dominio deve eseguire Windows Server 2012 o versione successiva.
  • Il server aggiunto al dominio in cui viene installato l'agente deve eseguire Windows Server 2016 o versione successiva.

Autorizzazioni impostate su un account del servizio gestito del gruppo (autorizzazioni ALL)

Quando il programma di installazione crea l'account del servizio gestito del gruppo, imposta TUTTE le autorizzazioni per l'account. Le tabelle seguenti illustrano in dettaglio queste autorizzazioni

MS-DS-Consistency-Guid

Type Nome Accesso Si applica a
Consentire <account gmsa> Proprietà di scrittura mS-DS-ConsistencyGuid Oggetti utente discendenti
Consentire <account gmsa> Proprietà di scrittura mS-DS-ConsistencyGuid Oggetti gruppo discendente

Se la foresta associata è ospitata in un ambiente Windows Server 2016, include le autorizzazioni seguenti per le chiavi NGC e le chiavi STK.

Type Nome Accesso Si applica a
Consentire <account gmsa> Proprietà di scrittura msDS-KeyCredentialLink Oggetti utente discendenti
Consentire <account gmsa> Proprietà di scrittura msDS-KeyCredentialLink Oggetti dispositivo discendenti

Sincronizzazione dell'hash delle password

Type Nome Accesso Si applica a
Consentire <account gmsa> Replica modifiche directory Solo questo oggetto (radice dominio)
Consenti <account gmsa> Replica di tutte le modifiche directory Solo questo oggetto (radice dominio)

Writeback delle password

Type Nome Accesso Si applica a
Consentire <account gmsa> Reimpostazione password Oggetti User discendenti
Consentire <account gmsa> Scrittura proprietà lockoutTime Oggetti User discendenti
Consentire <account gmsa> Scrittura proprietà pwdLastSet Oggetti Utente discendenti
Consentire <account gmsa> Password senza scadenza Solo questo oggetto (radice dominio)

Writeback dei gruppi

Type Nome Accesso Si applica a
Consentire <account gmsa> Lettura/scrittura generica Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari
Consenti <account gmsa> Crea/Elimina oggetti figli Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari
Consenti <account gmsa> Elimina/Elimina oggetti albero Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari

Distribuzione ibrida di Exchange

Type Nome Accesso Si applica a
Consentire <account gmsa> Lettura/scrittura di tutte le proprietà Oggetti User discendenti
Consentire <account gmsa> Lettura/scrittura di tutte le proprietà Oggetti InetOrgPerson discendenti
Consentire <account gmsa> Lettura/scrittura di tutte le proprietà Oggetti Group discendenti
Consentire <account gmsa> Lettura/scrittura di tutte le proprietà Oggetti Contact discendenti

Cartelle pubbliche della posta di Exchange

Type Nome Accesso Si applica a
Consentire <account gmsa> Leggere tutte le proprietà Oggetti PublicFolder discendenti

UserGroupCreateDelete (CloudHR)

Type Nome Accesso Si applica a
Consentire <account gmsa> Scrittura generica Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari
Consenti <account gmsa> Crea/Elimina oggetti figli Tutti gli attributi del gruppo di tipi di oggetto e degli oggetti secondari
Consenti <account gmsa> Scrittura generica Tutti gli attributi dell'utente e dei sottooggetti del tipo di oggetto
Consenti <account gmsa> Crea/Elimina oggetti figli Tutti gli attributi dell'utente e dei sottooggetti del tipo di oggetto

Uso di un account del servizio gestito del gruppo personalizzato

Se si sta creando un account del servizio gestito del gruppo personalizzato, il programma di installazione imposta le autorizzazioni ALL per l'account personalizzato.

Per informazioni su come aggiornare un agente esistente per l'uso di un account gMSA, vedere Account del servizio gestito di gruppo.

Per altre informazioni su come preparare Active Directory per l'account del servizio gestito del gruppo, vedere Panoramica degli account del servizio gestito del gruppo.

Passaggi successivi