我可以使用 Install-ADServiceAccount 从受信任的林安装 gMSA 吗?

我可以使用 Install-ADServiceAccount 从受信任的林安装 gMSA 吗?

我需要在受信任林中的服务器上安装一个在一个林中创建的 gMSA。我已经创建了 gMSA,并将受信任林中的 AD 计算机帐户添加到用作 PrincipalsAllowedToRetrieveManagedPassword 的域本地安全组。当我在受信任域中的目标服务器上运行 Install-ADServiceAccount 命令时,我无法指定服务器,因此它会在本地 DC 中检查服务帐户,但找不到该帐户。我尝试使用 Get-ADServiceAccount,它将接受“-Server”开关,然后将其传输到 Install-ADServiceAccount,但也没有成功。我可以使用来自原始林的基于用户的服务帐户,我可以将其添加为感兴趣的 SQL 服务的服务主体,但随后我必须管理密码等。有没有办法跨林使用 gMSA 帐户(双向信任到位)?

相关内容