共用方式為

群組受管理的服務帳戶

  • 發行項

群組受管理的服務帳戶是受控網域帳戶,可提供自動密碼管理、簡化的服務主體名稱 (SPN) 管理、將管理委派給其他管理員的能力,也會將此功能擴充到多部伺服器。 Microsoft Entra Cloud Sync 支援並使用 gMSA 來執行代理程式。 您可以選擇允許安裝程式建立新的帳戶或指定自訂帳戶。 系統會在安裝期間提示您輸入系統管理認證,以便在使用自定義帳戶時建立此帳戶或設定許可權。 如果安裝程式建立帳戶,帳戶會顯示為 domain\provAgentgMSA$。 如需 gMSA 的詳細資訊,請參閱群組受管理的服務帳戶

gMSA 的必要條件

  • gMSA 網域樹系中的 Active Directory 結構描述需要更新成 Windows Server 2012 或更新版本。
  • 網域控制站上的 PowerShell RSAT 模組
  • 網域中至少必須要有一個網域控制站執行 Windows Server 2012 或更新版本。
  • 安裝代理程式的已加入網域伺服器需要是 Windows Server 2016 或更新版本。

gMSA 帳戶上設定的權限 (ALL 許可權)

當安裝程式建立 gMSA 帳戶時,它會設定 帳戶上的所有 許可權。 下表詳細說明這些許可權

MS-DS-Consistency-Guid

類型 名稱 存取 套用至
允許 <gmsa 帳戶> Write 屬性 mS-DS-ConsistencyGuid 子系用戶物件
允許 <gmsa 帳戶> Write 屬性 mS-DS-ConsistencyGuid 子系群組物件

如果相關聯的樹系裝載於 Windows Server 2016 環境中,它就會包含 NGC 金鑰和 STK 金鑰的下列許可權。

類型 名稱 存取 套用至
允許 <gmsa 帳戶> Write 屬性 msDS-KeyCredentialLink 子系用戶物件
允許 <gmsa 帳戶> Write 屬性 msDS-KeyCredentialLink 子系裝置物件

密碼雜湊同步處理

類型 名稱 存取 套用至
允許 <gmsa 帳戶> 複寫目錄變更 僅限此物件 (網域根)
允許 <gmsa 帳戶> 複寫所有目錄變更 僅限此物件 (網域根)

密碼回寫

類型 名稱 存取 套用至
允許 <gmsa 帳戶> 重設密碼 子系使用者物件
允許 <gmsa 帳戶> 寫入 lockoutTime 屬性 子系使用者物件
允許 <gmsa 帳戶> 寫入 pwdLastSet 屬性 子系使用者物件
允許 <gmsa 帳戶> 未過期密碼 僅限此物件 (網域根)

群組回寫

類型 名稱 存取 套用至
允許 <gmsa 帳戶> 一般讀取/寫入 物件類型群組和子物件的所有屬性
允許 <gmsa 帳戶> 建立/刪除子物件 物件類型群組和子物件的所有屬性
允許 <gmsa 帳戶> 刪除/刪除樹狀物件 物件類型群組和子物件的所有屬性

Exchange 混合式部署

類型 名稱 存取 套用至
允許 <gmsa 帳戶> 讀取/寫入所有屬性 子系使用者物件
允許 <gmsa 帳戶> 讀取/寫入所有屬性 子系 InetOrgPerson 物件
允許 <gmsa 帳戶> 讀取/寫入所有屬性 子系群組物件
允許 <gmsa 帳戶> 讀取/寫入所有屬性 子系連絡人物件

Exchange Mail 公用資料夾

類型 名稱 存取 套用至
允許 <gmsa 帳戶> 讀取全部內容 子系 PublicFolder 物件

UserGroupCreateDelete (CloudHR)

類型 名稱 存取 套用至
允許 <gmsa 帳戶> 一般寫入 物件類型群組和子物件的所有屬性
允許 <gmsa 帳戶> 建立/刪除子物件 物件類型群組和子物件的所有屬性
允許 <gmsa 帳戶> 一般寫入 物件類型用戶和子物件的所有屬性
允許 <gmsa 帳戶> 建立/刪除子物件 物件類型用戶和子物件的所有屬性

使用自定義 gMSA 帳戶

如果您要建立自定義 gMSA 帳戶,安裝程式將會在自定義帳戶上設定 ALL 許可權。

如需如何將現有代理程式升級成使用 gMSA 帳戶的步驟,請參閱群組受管理的服務帳戶

如需如何準備 Active Directory 以供受群組受管理的服務帳戶使用的詳細資訊,請參閱群組受管理的服務帳戶概觀

下一步