组托管服务帐户 (gMSA):获取授权主机/install-adserviceaccount 未知错误

组托管服务帐户 (gMSA):获取授权主机/install-adserviceaccount 未知错误

使用以下命令成功创建组托管服务帐户(gMSA)后:

add-adserviceaccount -name gmsaAccount -PrincipalsAllowedToDelegateToAccount gmsaGroup -DNSHostName gmsaAccount.test.local

我在将此帐户安装到目标主机(gmsaGroup 组成员)时遇到问题。我想知道问题是否与与服务帐户关联的主机无关。

有没有办法(powershell 命令?)来验证哪些主机与组管理服务帐户关联并获得授权。

我试过了,但没有显示get-adserviceaccount -identity gmsaAccount | fl *任何与主机相关的东西。principalsAllowedToDelegateToAccount

供参考,当我尝试install-adserviceaccount在目标 Windows2012R2 主机上运行时,我收到一条无用的“未知错误”消息(没有错误代码)。

答案1

  1. 您至少有一辆 2012 DC 吗?
  2. 您是否使用 Add-KDSRootKey 准备了域名?
  3. 将计算机添加到 gmsaGroup 后,它们是否重新启动以获取反映新组成员身份的新令牌?
  4. 当您创建帐户时,我认为您需要使用“PrincipalsAllowedToRetrieveManagedPassword”而不是“PrincipalsAllowedToDelegateToAccount”

创建新 gMSA 的 cmdlet 是“New-ADServiceAccount”,而不是“Add-ADServiceAccount”

流程概述http://blogs.technet.com/b/askpfeplat/archive/2012/12/17/windows-server-2012-group-managed-service-accounts.aspx

相关内容