我们在 DMZ 站点中有 RODC,并且我们想使用 GMSA,但问题是由于域控制器是只读的,所以我似乎必须在创建新帐户时设置密码,例如:
New-ADServiceAccount -name STEST01_gmsa -DNSHostName STEST01_gmsa.mydomain.local -AccountPassword (ConvertTo-SecureString -AsPlainText "MyPassword" -Force) -Enabled $true -PrincipalsAllowedToRetrieveManagedPassword MyGROUP_TEST01_GMSA
问题是我已经尝试了很多不同的方法,但都不起作用。最后一条命令返回以下错误:
New-ADServiceAccount:无法使用指定的命名参数解析参数集。位于行:1 字符:1
- 新 ADServiceAccount-名称 STEST01_gmsa-PrincipalsAllowedToRetrieveM...
+ CategoryInfo : InvalidArgument: (:) [New-ADServiceAccount], ParameterBindingException + FullyQualifiedErrorId :
模糊参数集,Microsoft.ActiveDirectory.Management.Commands.NewADServiceAccount
请帮忙找出这里缺少什么。
答案1
对于 gMSA,将忽略“AccountPassword”属性,它可用于标准 MSA,就像您描述的那种对域控制器没有可写访问权限的场景。
引用 Microsoft 文档:“在这种情况下,您应该创建独立的 MSA,将其与适当的计算机帐户链接起来,并分配一个众所周知的密码,该密码需要在仅 RODC 站点上的服务器上安装独立 MSA 时传递,且无权访问可写 DC。”