Группа управляемые сервисные учетные записи:-PrincipalsAllowedToRetrieveManagedPassword
Таким образом, в документации для создания gMSAs говорится, что параметр "-PrincipalsAllowedToRetrieveManagedPassword" должен ограничить способность использования gMSA к машинам, которые являются частью групп безопасности, данных в параметре. Например.
Новый-ADServiceAccount - называют dev-сервис-DNSHostName dev-сервисом-PrincipalsAllowedToRetrieveManagedPassword gMSA-dev-service-allowed-hosts
должен, насколько я понимаю, позволить только машины, которые являются частью группы безопасности "gMSA-dev-service-allowed-hosts" для доступа к паролю dev-сервис учетной записи, таким образом, ограничивающий машины, которые могут использовать учетную запись.
Моя проблема состоит в том, что я не могу заставить это прокладывать себе путь. Даже на машине, которая не является членом "gMSA-dev-service-allowed-hosts", учетная запись может использоваться без проблемы.
Я неправильно понимал значение-PrincipalsAllowedToRetrieveManagedPassword?
Спасибо
С наилучшими пожеланиями,
dsa
Установка -PrincipalsAllowedToRetrieveManagedPassword ограничивает использование Install-ADServiceAccount , что является еще одним шагом, который необходимо выполнить, прежде чем вы сможете использовать gMSA. После установки gMSA служба будет запускаться независимо от настройки PrincipalsAllowed до тех пор, пока не изменится управляемый пароль .
Любой компьютер, использующий gMSA, не включенный в объекты PrincipalsAllowed, не сможет изменить управляемый пароль и не сможет получить управляемый пароль из домена после его изменения. Если управляемый пароль gMSA был изменен компьютером, имеющим соответствующие права, это вызовет сбои при входе в систему для служб, запущенных на компьютерах, которые не входят в объекты PrincipalsAllowed.
Вы должны убедиться, что на каждом компьютере, на котором запущены службы, используются определенные gMSA включен в сущности PrincipalsAllowed для этого gMSA, иначе вызовет проблемы с запуском / перезапуском служб (месяц спустя, поскольку изменение управляемого пароля по умолчанию запланировано на 30 дней).
] https://technet.microsoft.com/en-us/library/hh852196%28v=wps.630%29.aspx
Примечания Для успешной установки управляемой учетной записи службы учетная запись службы должна иметь PrincipalsAllowedToRetrieveManagedPassword параметр параметра устанавливается первым с помощью командлета New-ADServiceAccount или Set-ADServiceAccount. В противном случае установка завершится неудачно.
Например,
# Running this on APPSERVER1
$appServer1 = Get-ADComputer APPSERVER1
$appServer2 = Get-ADComputer APPSERVER2
$gMSA = New-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2 -DnsHostName 'APP1'
Install-ADServiceAccount 'APP1'
Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1
+ Install-ADServiceAccount 'APP1'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : WriteError: (APP1:String) [Install-ADServiceAccount], ADException
+ FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount
Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer1
Install-ADServiceAccount 'APP1'
Теперь последняя команда будет выполнена успешно. После настройки учетных данных службы она запустится.
Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2
Теперь перезапуск службы по-прежнему будет работать. Однако, если вы выполните Uninstall-ADServiceAccount , а затем попытаетесь переустановить его, вы получите ту же ошибку, что и выше.
Запуск службы также завершится неудачно с ошибкой входа в систему, если пароль был тем временем изменен APPSERVER2.