Gruppenverwaltete Dienstkonten

Ein gruppenverwaltetes Dienstkonto ist ein verwaltetes Domänenkonto, das eine automatische Kennwortverwaltung, eine vereinfachte Verwaltung von Dienstprinzipalnamen (Service Principal Name, SPN) und die Möglichkeit bietet, die Verwaltung an andere Administratoren zu delegieren, wobei diese Funktionalität auch auf mehrere Server erweitert werden kann. Die Microsoft Entra-Cloudsynchronisierung unterstützt und verwendet ein gMSA zum Ausführen des Agents. Sie können dem Installationsprogramm das Erstellen eines neuen Kontos oder das Angeben eines benutzerdefinierten Kontos gestatten. Sie werden während des Setups zur Eingabe von Administratoranmeldeinformationen aufgefordert, um dieses Konto zu erstellen oder Berechtigungen festzulegen, falls Sie ein benutzerdefiniertes Konto verwenden. Wenn das Installationsprogramm das Konto erstellt, wird das Konto als domain\provAgentgMSA$ angezeigt. Weitere Informationen zu einem gMSA finden Sie unter Gruppenverwaltete Dienstkonten.

Voraussetzungen für das gMSA

  • Das Active Directory-Schema in der Gesamtstruktur der gMSA-Domäne muss auf Windows Server 2012 oder höher aktualisiert werden.
  • PowerShell-RSAT-Module auf einem Domänencontroller.
  • Auf mindestens einem Domänencontroller in der Domäne muss Windows Server 2012 oder höher ausgeführt werden.
  • Ein in eine Domäne eingebundener Server, auf dem der Agent installiert ist, muss Windows Server 2016 oder höher aufweisen.

Für ein gMSA festgelegte Berechtigungen (ALLE Berechtigungen)

Wenn das Installationsprogramm das gMSA erstellt, werden ALLE Berechtigungen für das Konto festgelegt. In den folgenden Tabellen werden diese Berechtigungen ausführlich beschrieben.

MS-DS-Consistency-Guid

type Name Zugriff Gilt für
Allow <gMSA-Konto> Schreibeigenschaft „mS-DS-ConsistencyGuid“ Nachfolger-Benutzerobjekte
Allow <gMSA-Konto> Schreibeigenschaft „mS-DS-ConsistencyGuid“ Nachfolger-Gruppenobjekte

Wenn die zugeordnete Gesamtstruktur in einer Windows Server 2016-Umgebung gehostet wird, enthält sie die folgenden Berechtigungen für NGC-Schlüssel und STK-Schlüssel.

type Name Zugriff Gilt für
Allow <gMSA-Konto> Schreibeigenschaft „msDS-KeyCredentialLink“ Nachfolger-Benutzerobjekte
Allow <gMSA-Konto> Schreibeigenschaft „msDS-KeyCredentialLink“ Nachfolger-Geräteobjekte

Kennworthashsynchronisierung

type Name Zugriff Gilt für
Allow <gMSA-Konto> Replizieren von Verzeichnisänderungen Nur dieses Objekt (Domänenstamm)
Zulassen <gMSA-Konto> Replizieren von Verzeichnisänderungen: Alle Nur dieses Objekt (Domänenstamm)

Rückschreiben von Kennwörtern

type Name Zugriff Gilt für
Allow <gMSA-Konto> Kennwort zurücksetzen Nachfolger-Benutzerobjekte
Allow <gMSA-Konto> Schreiben für Eigenschaft „LockoutTime“ Nachfolger-Benutzerobjekte
Allow <gMSA-Konto> Schreiben für Eigenschaft „pwdLastSet“ Nachfolger-Benutzerobjekte
Allow <gMSA-Konto> Abgelaufenes Kennwort wiederherstellen Nur dieses Objekt (Domänenstamm)

Gruppenrückschreiben

type Name Zugriff Gilt für
Allow <gMSA-Konto> Generisches Lesen/Schreiben Alle Attribute einer Objekttypgruppe und von Unterobjekten
Zulassen <gMSA-Konto> Erstellen/Löschen von untergeordneten Objekten Alle Attribute einer Objekttypgruppe und von Unterobjekten
Zulassen <gMSA-Konto> Löschen/Löschen von Strukturobjekten Alle Attribute einer Objekttypgruppe und von Unterobjekten

Exchange-Hybridbereitstellung

type Name Zugriff Gilt für
Allow <gMSA-Konto> Lesen/Schreiben für alle Eigenschaften Nachfolger-Benutzerobjekte
Allow <gMSA-Konto> Lesen/Schreiben für alle Eigenschaften Nachfolger-InetOrgPerson-Objekte
Allow <gMSA-Konto> Lesen/Schreiben für alle Eigenschaften Nachfolger-Gruppenobjekte
Allow <gMSA-Konto> Lesen/Schreiben für alle Eigenschaften Nachfolger-Kontaktobjekte

Öffentliche Exchange-E-Mail-Ordner

type Name Zugriff Gilt für
Allow <gMSA-Konto> Alle Eigenschaften lesen Nachfolger-PublicFolder-Objekte

UserGroupCreateDelete (CloudHR)

type Name Zugriff Gilt für
Allow <gMSA-Konto> Generischer Schreibzugriff Alle Attribute einer Objekttypgruppe und von Unterobjekten
Zulassen <gMSA-Konto> Erstellen/Löschen von untergeordneten Objekten Alle Attribute einer Objekttypgruppe und von Unterobjekten
Zulassen <gMSA-Konto> Generischer Schreibzugriff Alle Attribute eines Objekttypbenutzers und von Unterobjekten
Zulassen <gMSA-Konto> Erstellen/Löschen von untergeordneten Objekten Alle Attribute eines Objekttypbenutzers und von Unterobjekten

Verwenden eines benutzerdefinierten gMSA

Wenn Sie ein benutzerdefiniertes gMSA-Konto erstellen, legt das Installationsprogramm die Berechtigungen ALLE für das benutzerdefinierte Konto fest.

Die Schritte zum Aktualisieren eines vorhandenen Agents für die Verwendung eines gMSA-Kontos finden Sie unter Gruppenverwaltete Dienstkonten.

Weitere Informationen zum Vorbereiten von Active Directory für gruppenverwaltete Dienstkonten finden Sie unter Gruppenverwaltete Dienstkonten: Übersicht.

Nächste Schritte