Windows Server 2019 环境
我在 DMZ 中有 2 个可写 DC 和 1 个 RODC,它们都需要使用 gMSA 来部署一些软件。这是我第一次使用 gMSA / MSA,虽然在我的可写 DC 上创建和部署一切顺利,但 RODC 却抛出了错误:
'''Install-ADServiceAccount:无法安装服务帐户。错误消息:“{拒绝访问} 进程已请求访问对象,但尚未被授予这些访问权限。”'''
基于此处的早期主题: 组管理服务帐户 (GMSA) 和只读域控制器 (RODC)
我发现一些文档似乎表明您不能在 RODC 上执行相同的操作,但我不知道该如何继续。起初听起来我需要转到 RODC 并创建一个常规 MSA,我认为该 MSA 的帐户名与我已经设置的 gMSA 相同。然而,其他一些线索让我认为这可能是标志“PrincipalsAllowedToRetrieveManagedPassword”的问题。在我的 PDC 模拟器上创建 gMSA 时,我将标志设置为“-PrincipalsAllowedToRetrieveManagedPassword “Domain Controllers””。是否应该将其设置为“-PrincipalsAllowedToRetrieveManagedPassword“域控制器”、“只读域控制器”?当然,当我检查 RODC 计算机帐户上的“成员”选项卡时,它并没有像可写的两个一样被列为“域控制器”的成员。这个想法正确吗?如果是这样,如何编辑现有的 gMSA 以允许 RODC 获取其密码?
鉴于 RODC 的要点是才不是缓存密码 我怀疑我走错了路,必须使用一个本地的、具有相同名称的独立帐户(因为软件管理员已经向我指定了名称)。事实真的如此吗?如果是这样,那么“NAME X”的 gMSA 和“NAME X”的本地 MSA 是否具有相同的名称但不同的机器生成的密码有关系吗?
不幸的是,这是一个新的领域,我有点不确定如何理清我所掌握的信息。
答案1
解决方案似乎是将“只读域控制器”组添加到批准的密码抓取列表中: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/getting-started-with-group-managed-service-accounts
我尝试使用命令 Set-ADServiceAccount -Identity myServiceAccountName -PrincipalsAllowedToRetrieveManagedPassword "Domain Controllers","Read-only Domain Controllers" 来执行此操作。
完成此操作后,我就能够在 DMZ 绑定的 RODC 上安装该服务而不会出现问题。