%20%E4%BA%A4%E4%BA%92%E5%BC%8F%E7%99%BB%E5%BD%95.png)
我正在尝试解决 gMSA 的问题,并且错误以交互方式显示。psexec 被 sophos 阻止,这对于白名单来说相当麻烦(将是获得交互式会话的可靠方法)。
我尝试将 gMSA 放入所有明显的组中。尝试通过 rdp 登录,但显示“要远程登录,您需要......权限”。尝试使用 runas。Pssession 可以工作但不能交互。start-process 显示“登录失败:用户未被授予此计算机所请求的登录类型。”。
阻止 gMSA 以交互方式登录的位置在哪里?它不在拒绝策略中,我尝试将其添加到交互式登录策略中。但都无济于事。它似乎是 Microsoft 在某处硬编码的。
答案1
回答我自己的问题:将活动目录中的 urserAccountControl 从 0x1000(WORKSTATION_TRUST_ACCOUNT)更改为 0x200(NORMAL_ACCOUNT)
现在它基本上是一个“正常”帐户。至少 rdp 现在对我来说是有效的。