使用以下命令成功创建组托管服务帐户(gMSA)后:
add-adserviceaccount -name gmsaAccount -PrincipalsAllowedToDelegateToAccount gmsaGroup -DNSHostName gmsaAccount.test.local
我在将此帐户安装到目标主机(gmsaGroup 组成员)时遇到问题。我想知道问题是否与与服务帐户关联的主机无关。
有没有办法(powershell 命令?)来验证哪些主机与组管理服务帐户关联并获得授权。
我试过了,但没有显示get-adserviceaccount -identity gmsaAccount | fl *
任何与主机相关的东西。principalsAllowedToDelegateToAccount
供参考,当我尝试install-adserviceaccount
在目标 Windows2012R2 主机上运行时,我收到一条无用的“未知错误”消息(没有错误代码)。
答案1
- 您至少有一辆 2012 DC 吗?
- 您是否使用 Add-KDSRootKey 准备了域名?
- 将计算机添加到 gmsaGroup 后,它们是否重新启动以获取反映新组成员身份的新令牌?
- 当您创建帐户时,我认为您需要使用“PrincipalsAllowedToRetrieveManagedPassword”而不是“PrincipalsAllowedToDelegateToAccount”
创建新 gMSA 的 cmdlet 是“New-ADServiceAccount”,而不是“Add-ADServiceAccount”