组管理服务帐户 (GMSA) 和只读域控制器 (RODC)

组管理服务帐户 (GMSA) 和只读域控制器 (RODC)

我们在 DMZ 站点中有 RODC,并且我们想使用 GMSA,但问题是由于域控制器是只读的,所以我似乎必须在创建新帐户时设置密码,例如:

New-ADServiceAccount -name STEST01_gmsa -DNSHostName STEST01_gmsa.mydomain.local -AccountPassword (ConvertTo-SecureString -AsPlainText "MyPassword" -Force) -Enabled $true -PrincipalsAllowedToRetrieveManagedPassword MyGROUP_TEST01_GMSA

问题是我已经尝试了很多不同的方法,但都不起作用。最后一条命令返回以下错误:

New-ADServiceAccount:无法使用指定的命名参数解析参数集。位于行:1 字符:1

  • 新 ADServiceAccount-名称 STEST01_gmsa-PrincipalsAllowedToRetrieveM...
  •   + CategoryInfo          : InvalidArgument: (:) [New-ADServiceAccount], ParameterBindingException
      + FullyQualifiedErrorId : 
    

模糊参数集,Microsoft.ActiveDirectory.Management.Commands.NewADServiceAccount

请帮忙找出这里缺少什么。

答案1

对于 gMSA,将忽略“AccountPassword”属性,它可用于标准 MSA,就像您描述的那种对域控制器没有可写访问权限的场景。

引用 Microsoft 文档:“在这种情况下,您应该创建独立的 MSA,将其与适当的计算机帐户链接起来,并分配一个众所周知的密码,该密码需要在仅 RODC 站点上的服务器上安装独立 MSA 时传递,且无权访问可写 DC。”

https://docs.microsoft.com/en-us/powershell/module/activedirectory/install-adserviceaccount?view=winserver2012-ps#parameters

相关内容