26 Nov 2025 - bobac
V praxi není nic neobvyklého, když po instalaci Azure AD Connect najdete v AD pár podivných účtů, které na první pohled nedávají smysl. Tato konverzace objasnila, co je co, a proč někdy může nastat problém při přidávání těchto účtů do skupin podle interních politik.
Tohle je objekt typu Group Managed Service Account. Není to běžný uživatelský účet a nemůže se přihlásit. Je to jen „hlavička“ účtu, kterou Active Directory používá k řízení hesel a atributů.
Služba „Microsoft Azure AD Sync“ běží právě pod tímto účtem.
Je to reálný logon účet a má $ stejně jako počítačové účty.
V konzoli MMC ho ale často vůbec neuvidíte, což mate správce.
Tohle je účet ze starší verze AAD Connect. Moderní instalace už tento účet nepoužívají, ale účet v AD zůstává jako pozůstatek. Nemá vztah k současnému gMSA účtu.
MMC (dsa.msc) neumí zobrazit gMSA tak, jak by člověk čekal.
Vidíte prázdný kontejner, nevidíte $ účet, ale Azure AD Sync služba pod ním běží.
Řešením je:
Interní politika vyžaduje, aby všechny účty služeb byly členem určité skupiny — například grpservice.
Proto je potřeba přidat ADSyncMSAxxxx$.
PowerShell řeší situaci okamžitě:
Add-ADGroupMember -Identity "grpservice" -Members "ADSyncMSAxxxx$"
Pokud by vyhledání selhalo, použije se DN definice gMSA, AD si to sám namapuje.
$ varianta je ta, kterou používá služba.Celá situace vzniká jen díky tomu, že MMC nepodává úplný obraz.
Jakmile člověk ví, co který objekt je, dává to celé perfektní smysl.