%EF%BC%9A%E8%8E%B7%E5%8F%96%E6%8E%88%E6%9D%83%E4%B8%BB%E6%9C%BA%2Finstall-adserviceaccount%20%E6%9C%AA%E7%9F%A5%E9%94%99%E8%AF%AF.png)
使用以下命令成功创建组托管服务帐户(gMSA)后:
add-adserviceaccount -name gmsaAccount -PrincipalsAllowedToDelegateToAccount gmsaGroup -DNSHostName gmsaAccount.test.local
我在将此帐户安装到目标主机(gmsaGroup 组成员)时遇到问题。我想知道问题是否与与服务帐户关联的主机无关。
有没有办法(powershell 命令?)来验证哪些主机与组管理服务帐户关联并获得授权。
我试过了,但没有显示get-adserviceaccount -identity gmsaAccount | fl *任何与主机相关的东西。principalsAllowedToDelegateToAccount
供参考,当我尝试install-adserviceaccount在目标 Windows2012R2 主机上运行时,我收到一条无用的“未知错误”消息(没有错误代码)。
答案1
- 您至少有一辆 2012 DC 吗?
- 您是否使用 Add-KDSRootKey 准备了域名?
- 将计算机添加到 gmsaGroup 后,它们是否重新启动以获取反映新组成员身份的新令牌?
- 当您创建帐户时,我认为您需要使用“PrincipalsAllowedToRetrieveManagedPassword”而不是“PrincipalsAllowedToDelegateToAccount”
创建新 gMSA 的 cmdlet 是“New-ADServiceAccount”,而不是“Add-ADServiceAccount”