这关于为 Docker 容器创建 GMSA 的 Microsoft 文档内容如下:
容器还可以配置额外的 gMSA,以防你想以与容器计算机帐户不同的身份在容器中运行服务或应用程序。
这正是我想要做的。所以我创建了一个这样的凭证规范:
New-CredentialSpec -AccountName WebApp01 -AdditionalAccounts LogAgentSvc
现在我想在 LogAgentSvc 服务账户下运行一个应用程序,但是我该怎么做呢?当阅读配置您的应用文档,您不应该直接在 GMSA 下运行应用程序。相反,建议您在“NT AUTHORITY\NETWORK SERVICE”下运行应用程序(或服务)。虽然该页面上的文档介绍提到了在辅助 GMSA 下运行应用程序的能力,但没有概述执行此操作的步骤。我曾尝试在 GMSA 下直接运行相关服务,但这会给我一个常见的登录错误。