组托管服务帐户

组托管服务帐户是一种托管的域帐户，它提供自动密码管理、简化的服务主体名称 (SPN) 管理、将管理委派给其他管理员的功能以及在多个服务器上扩展此功能。 Microsoft Entra Cloud Sync 支持并使用 gMSA 来运行代理。可以选择允许安装程序创建新帐户或指定自定义帐户。在安装过程中，系统会提示你提供管理凭据，以便创建此帐户或设置权限（如果使用自定义帐户）。如果安装程序创建帐户，该帐户将显示为 domain\provAgentgMSA$。有关组托管服务帐户 (gMSA) 的详细信息，请参阅组托管服务帐户。

gMSA 的先决条件

gMSA 域林中的 Active Directory 架构需要更新到 Windows Server 2012 或更高版本。
域控制器上的 PowerShell RSAT 模块。
域中至少有一个域控制器必须运行 Windows Server 2012 或更高版本。
一个已加入域的服务器，其操作系统为 Windows Server 2022、Windows Server 2019 或 Windows Server 2016，用于安装代理。

对 gMSA 帐户设置的权限（所有权限）

当安装程序创建 gMSA 帐户时，安装程序会将帐户权限设为“ALL”。下表详细介绍了这些权限

MS-DS-Consistency-Guid

类型	名称	Access	应用到
允许	<gMSA 帐户>	将属性 mS-DS-ConsistencyGuid 写入	后代用户对象
允许	<gMSA 帐户>	将属性 mS-DS-ConsistencyGuid 写入	后代组对象

如果关联林托管在 Windows Server 2016 环境中，则它包括 NGC 密钥和 STK 密钥的以下权限。

类型	名称	Access	应用到
允许	<gMSA 帐户>	写入属性 msDS-KeyCredentialLink	后代用户对象
允许	<gMSA 帐户>	写入属性 msDS-KeyCredentialLink	后代设备对象

密码哈希同步

类型	名称	Access	应用到
允许	<gMSA 帐户>	复制目录更改	仅限此对象（域根）
允许	<gMSA 帐户>	复制所有目录更改	仅限此对象（域根）

密码回写

类型	名称	Access	应用到
允许	<gMSA 帐户>	重置密码	后代用户对象
允许	<gMSA 帐户>	写入属性 lockoutTime	后代用户对象
允许	<gMSA 帐户>	写入 pwdLastSet 属性	后代用户对象
允许	<gMSA 帐户>	密码不过期	仅限此对象（域根）

组写回

类型	名称	Access	应用到
允许	<gMSA 帐户>	一般读取/写入	对象类型组和子对象的所有属性
允许	<gMSA 帐户>	创建/删除子对象	对象类型组和子对象的所有属性
允许	<gMSA 帐户>	删除/删除树对象	对象类型组和子对象的所有属性

Exchange 混合部署

类型	名称	Access	应用到
允许	<gMSA 帐户>	读取/写入所有属性	后代用户对象
允许	<gMSA 帐户>	读取/写入所有属性	后代 InetOrgPerson 对象
允许	<gMSA 帐户>	读取/写入所有属性	后代组对象
允许	<gMSA 帐户>	读取/写入所有属性	后代联系人对象

Exchange 邮件公用文件夹

类型	名称	Access	应用到
允许	<gMSA 帐户>	读取所有属性	后代 PublicFolder 对象

用户组创建删除（CloudHR）

类型	名称	Access	应用到
允许	<gMSA 帐户>	一般写入	对象类型组和子对象的所有属性
允许	<gMSA 帐户>	创建/删除子对象	对象类型组和子对象的所有属性
允许	<gMSA 帐户>	一般写入	对象类型用户和子对象的所有属性
允许	<gMSA 帐户>	创建/删除子对象	对象类型用户和子对象的所有属性

使用自定义 gMSA 帐户

如果要创建自定义 gMSA 帐户，安装程序会将自定义帐户权限设为“ALL”。

有关如何升级现有代理以使用 gMSA 帐户的步骤，请参阅组托管服务帐户。

若要详细了解如何为组托管服务帐户准备 Active Directory，请参阅组托管服务帐户概述。

后续步骤

Last updated on 2026-03-27

Condividi tramite