尝试利用组管理服务帐户 (gMSA) 的优势,但环境却很复杂。我的指南是这篇博文:https://blogs.technet.microsoft.com/askpfeplat/2012/12/16/windows-server-2012-group-managed-service-accounts/
我已按照指南中的说明实施,并在 Server 2012+ 计算机上进行了测试。但现在我想使用相同的 gMSA 帐户在 Windows 7 计算机上运行与上述相同的服务。在 Win7 框中运行此步骤:
安装 ADServiceAccount gMSA 帐户名称
导致无法找到标识为“gMSA-account-name”的对象。如果我通过 GUID、SID 或完整可分辨名称路径识别此帐户,则情况仍然如此。
在 WWW 上搜索无法回答我是否可以在早于 Server 2012 的操作系统(即 Windows 7)上使用这样的帐户。我想如果这样的事情是可能的,那么以某种方式扩展 AD 模式使得 Win7 可以理解这种新类型的帐户是必需的(通过 ADMX 文件?)
谢谢你的观看!
答案1
与 Windows Server 2012 对应的 Windows 桌面版本是 Windows 8。因此,您至少需要 Windows 8 或更高版本才能使用 gMSA。在 Windows 7(和 2008 R2)上只能使用非组 MSA。
托管服务帐户(和虚拟计算机帐户)适用于 Windows Server 2008 R2 和 Windows Server 2012。组托管服务帐户只能在运行 Windows Server 2012 的计算机上配置和管理,但可以在仍有一些 DC 运行早于 Windows Server 2012 的操作系统的域中部署为单一服务标识解决方案。没有域或林功能级别要求。
微软极不可能将实现 gMSA 所需的功能移植到现在的旧版操作系统上。