Grup Tarafından Yönetilen Hizmet Hesapları
Makale 06/27/2024
2 katılımcı
Geri Bildirim
Bu makalede
Grup Yönetilen Hizmet Hesabı, otomatik parola yönetimi, basitleştirilmiş hizmet asıl adı (SPN) yönetimi, yönetimi diğer yöneticilere devretme olanağı sağlayan ve ayrıca bu işlevselliği birden çok sunucuya genişleten yönetilen bir etki alanı hesabıdır. Microsoft Entra Cloud Sync aracıyı çalıştırmak için bir gMSA destekler ve kullanır. Yükleyicinin yeni bir hesap oluşturmasına izin vermeyi veya özel bir hesap belirtmeyi seçebilirsiniz. Bu hesabı oluşturmak veya özel bir hesap kullanıyorsanız izinleri ayarlamak için kurulum sırasında sizden yönetici kimlik bilgileri istenir. Yükleyici hesabı oluşturursa, hesap olarak domain\provAgentgMSA$görünür. gMSA hakkında daha fazla bilgi için bkz . Grup Yönetilen Hizmet Hesapları .
gMSA için önkoşullar
gMSA etki alanının ormanındaki Active Directory şemasının Windows Server 2012 veya sonraki bir sürüme güncelleştirilmesi gerekir.
Bir etki alanı denetleyicisinde PowerShell RSAT modülleri .Etki alanındaki en az bir etki alanı denetleyicisi Windows Server 2012 veya sonraki bir sürümü çalıştırıyor olmalıdır.
Aracının yüklendiği etki alanına katılmış bir sunucu Windows Server 2016 veya üzeri olmalıdır.
gMSA hesabında ayarlanan izinler (TÜM izinler)
Yükleyici gMSA hesabını oluşturduğunda, hesap üzerindeki tüm izinleri ayarlar . Aşağıdaki tablolarda bu izinler ayrıntılı olarak yer alıyor
MS-DS-Consistency-Guid
Tür
Veri Akışı Adı
Access
Uygulandığı Öğe
İzin Ver
<gmsa hesabı>
mS-DS-ConsistencyGuid yazma özelliği
Alt kullanıcı nesneleri
İzin Ver
<gmsa hesabı>
mS-DS-ConsistencyGuid yazma özelliği
Alt grup nesneleri
İlişkili orman bir Windows Server 2016 ortamında barındırılıyorsa, NGC anahtarları ve STK anahtarları için aşağıdaki izinleri içerir.
Tür
Veri Akışı Adı
Access
Uygulandığı Öğe
İzin Ver
<gmsa hesabı>
Write özelliği msDS-KeyCredentialLink
Alt kullanıcı nesneleri
İzin Ver
<gmsa hesabı>
Write özelliği msDS-KeyCredentialLink
Alt cihaz nesneleri
Parola Karması Eşitleme
Tür
Veri Akışı Adı
Access
Uygulandığı Öğe
İzin Ver
<gmsa hesabı>
Dizin Değişikliklerini Çoğaltma
Yalnızca bu nesne (Etki alanı kökü)
İzin Ver
<gmsa hesabı>
Dizin DeğişiklikleriNin Tümünü Çoğaltma
Yalnızca bu nesne (Etki alanı kökü)
Parola Geri Yazma
Tür
Veri Akışı Adı
Access
Uygulandığı Öğe
İzin Ver
<gmsa hesabı>
Parola Sıfırla
Alt Kullanıcı nesneleri
İzin Ver
<gmsa hesabı>
Write özelliği lockoutTime
Alt Kullanıcı nesneleri
İzin Ver
<gmsa hesabı>
pwdLastSet yazma özelliği
Alt Kullanıcı nesneleri
İzin Ver
<gmsa hesabı>
Özetlenmemiş Parola
Yalnızca bu nesne (Etki alanı kökü)
Grup Geri Yazma
Tür
Veri Akışı Adı
Access
Uygulandığı Öğe
İzin Ver
<gmsa hesabı>
Genel Okuma/Yazma
Nesne türü grubunun ve alt nesnelerin tüm öznitelikleri
İzin Ver
<gmsa hesabı>
Alt nesne oluşturma/silme
Nesne türü grubunun ve alt nesnelerin tüm öznitelikleri
İzin Ver
<gmsa hesabı>
Ağaç nesnelerini silme/silme
Nesne türü grubunun ve alt nesnelerin tüm öznitelikleri
Exchange Karma Dağıtımı
Tür
Veri Akışı Adı
Access
Uygulandığı Öğe
İzin Ver
<gmsa hesabı>
Tüm özellikleri okuma/yazma
Alt Kullanıcı nesneleri
İzin Ver
<gmsa hesabı>
Tüm özellikleri okuma/yazma
Descendant InetOrgPerson nesneleri
İzin Ver
<gmsa hesabı>
Tüm özellikleri okuma/yazma
Alt Grup nesneleri
İzin Ver
<gmsa hesabı>
Tüm özellikleri okuma/yazma
Alt Kişi nesneleri
Exchange Posta Ortak Klasörleri
Tür
Veri Akışı Adı
Access
Uygulandığı Öğe
İzin Ver
<gmsa hesabı>
Tüm özellikleri okuma
Alt Ortak Klasör nesneleri
UserGroupCreateDelete (CloudHR)
Tür
Veri Akışı Adı
Access
Uygulandığı Öğe
İzin Ver
<gmsa hesabı>
Genel yazma
Nesne türü grubunun ve alt nesnelerin tüm öznitelikleri
İzin Ver
<gmsa hesabı>
Alt nesne oluşturma/silme
Nesne türü grubunun ve alt nesnelerin tüm öznitelikleri
İzin Ver
<gmsa hesabı>
Genel yazma
Kullanıcı ve alt nesne türüne ait tüm öznitelikler
İzin Ver
<gmsa hesabı>
Alt nesne oluşturma/silme
Kullanıcı ve alt nesne türüne ait tüm öznitelikler
Özel gMSA hesabı kullanma
Özel bir gMSA hesabı oluşturuyorsanız yükleyici özel hesapta TÜM izinleri ayarlar.
Mevcut bir aracıyı gMSA hesabı kullanacak şekilde yükseltme adımları için bkz . Grup Yönetilen Hizmet Hesapları .
Active Directory'nizi grup Yönetilen Hizmet Hesabı için hazırlama hakkında daha fazla bilgi için bkz . Grup Yönetilen Hizmet Hesaplarına Genel Bakış .
Sonraki adımlar