这关于为 Docker 容器创建 GMSA 的 Microsoft 文档内容如下: 容器还可以配置额外的 gMSA,以防你想以与容器计算机帐户不同的身份在容器中运行服务或应用程序。 这正是我想要做的。所以我创建了一个这样的凭证规范: New-CredentialSpec -AccountName WebApp01 -AdditionalAccounts LogAgentSvc 现在我想在 LogAgentSvc 服务账户下运行一个应用程序,但是我该怎么做呢?当阅读配置您的应用文档,您不应该直接在 GMSA 下运行应用程序。相反,建议您在“NT AUTHO...
Windows Server 2019 环境 我在 DMZ 中有 2 个可写 DC 和 1 个 RODC,它们都需要使用 gMSA 来部署一些软件。这是我第一次使用 gMSA / MSA,虽然在我的可写 DC 上创建和部署一切顺利,但 RODC 却抛出了错误: '''Install-ADServiceAccount:无法安装服务帐户。错误消息:“{拒绝访问} 进程已请求访问对象,但尚未被授予这些访问权限。”''' 基于此处的早期主题: 组管理服务帐户 (GMSA) 和只读域控制器 (RODC) 我发现一些文档似乎表明您不能在 RODC 上执行相同的操作,但我...
%20%E4%BA%A4%E4%BA%92%E5%BC%8F%E7%99%BB%E5%BD%95.png)
我正在尝试解决 gMSA 的问题,并且错误以交互方式显示。psexec 被 sophos 阻止,这对于白名单来说相当麻烦(将是获得交互式会话的可靠方法)。 我尝试将 gMSA 放入所有明显的组中。尝试通过 rdp 登录,但显示“要远程登录,您需要......权限”。尝试使用 runas。Pssession 可以工作但不能交互。start-process 显示“登录失败:用户未被授予此计算机所请求的登录类型。”。 阻止 gMSA 以交互方式登录的位置在哪里?它不在拒绝策略中,我尝试将其添加到交互式登录策略中。但都无济于事。它似乎是 Microsoft 在某处硬...
我们的 Active Directory 域包含两个托管服务帐户,MediaAdmin并且ServerAdmin: 我不记得添加过它们,Google 告诉我它们与 Windows Server Essentials 角色相关。它们的 HostComputers 属性是一个空列表,上次登录时间戳是四年多前。这可能是我们停止使用 Server Essentials 功能的时间: PS> Get-ADServiceAccount -Filter * -Properties lastLogonTimestamp | select name,HostCompu...
出于好奇,我也找不到任何地方的答案,我正在学习 AD LDAP,遇到了使用非交互式服务帐户绑定 LDAP 的情况。我无法理解这些帐户类型的用途。任何帮助/解释都非常感谢! ...
我正在努力使 DHCP 过滤器在多个 DHCP 服务器之间保持同步,每个服务器都在域控制器上运行。我编写了一个简单的脚本来从主 DHCP 服务器获取过滤器并将其推送到其他 DHCP 服务器: $aDhcpServers = Get-DhcpServerInDC New-Variable -Name sDhcpMasterServer -Value "master.server.fqdn" -Option Constant $aDhcpMacFilters = Get-DhcpServerv4Filter -ComputerName $sDhc...
我们在 Windows Server 2016 主机(HostA)上使用组托管服务帐户运行了一项服务。 我们正在扩展此服务的功能,以便它运行需要访问\\HostB\Data另一台 Windows Server 2016 服务器上的文件共享的 R 脚本。它正在运行第三方 R 代码 - 因此我们无法轻易更改它。 我们已使用常规文件和存储服务授予对 gMSA 的访问权限 - 并重新启动了两台服务器,以防出现缓存权限的情况。 但是,gMSA 在list.filesHostB 共享文件夹上调用的 R 调用失败,并出现“未找到文件”错误。 相同的 R 代码在具有类似配置...
%20%E5%92%8C%E5%8F%AA%E8%AF%BB%E5%9F%9F%E6%8E%A7%E5%88%B6%E5%99%A8%20(RODC).png)
我们在 DMZ 站点中有 RODC,并且我们想使用 GMSA,但问题是由于域控制器是只读的,所以我似乎必须在创建新帐户时设置密码,例如: New-ADServiceAccount -name STEST01_gmsa -DNSHostName STEST01_gmsa.mydomain.local -AccountPassword (ConvertTo-SecureString -AsPlainText "MyPassword" -Force) -Enabled $true -PrincipalsAllowedToRetrieveManagedPasswor...
我正在尝试通过任务计划程序以服务帐户身份运行 powershell 脚本。它必须以服务帐户(而不是本地系统)身份运行才能获得执行某些任务所需的权限。 出于安全目的,域中的所有服务帐户都无法登录机器(通过 GPO“拒绝本地登录”和“拒绝通过远程桌面服务登录”设置)。 不幸的是,设置此策略会导致 powershell 无法工作。 有没有办法在不登录 PC 的情况下启动 powershell?我试过使用 -NoProfile 开关,但它也不起作用。 我想到唯一的解决方案是创建一个不同的帐户(在拒绝本地登录的“服务帐户”组之外),并限制该帐户登录到需要运行脚...
有没有办法手动管理 gMSA(组管理服务帐户)密码?通常 gMSA 密码由 Active Directory 管理,但有时我需要手动管理密码(例如在外部系统中用于 ldap 绑定等)。 我知道我可以使用普通用户帐户,但如果我可以使用 gMSA,我就可以限制该帐户以交互方式登录域计算机。是的 - 我知道我可以使用 GPO 限制用户以交互方式登录,但 gMSA 比 GPO 更简单、更坚固(我可能会错误地配置 GPO)。此外,更少的 GPO == 更快的启动 \ 登录。 ...
我们在 Windows 2016 Server 上托管了一个 IIS 应用程序,当以本地用户或网络服务身份运行时,该应用程序运行良好。其中一位客户正在将应用程序设置为在服务帐户(可能是组托管服务帐户)上运行。 在服务账户下运行时,工作进程显示为正在运行,直到收到来自浏览器的请求,然后停止(网页上出现 503 错误)。 但是没有崩溃日志(WER)、事件日志错误、我们的应用程序日志,甚至 ProcMon 工具上也没有任何东西。 如果将服务帐户添加到管理员组,那么它就可以正常工作。 有什么方法可以追踪崩溃发生的位置,即是在 IIS Worker 创建或 ....
我正在尝试在 Windows 托管服务帐户下运行 MongoDB。这对于同一台服务器上的 memcached 来说运行良好,但是当我运行 MongoDB 帐户时,我得到了以下信息: Windows could not start the MongoDB ervice on Local Computer. Error 1053: The service did not respond to the start or control request in a timely fashion. 调整文件权限,以便帐户可以在 MongoDb 目录(存储二进制文...
我计划推出 IIS 集中式证书(在 Windows 2016 服务器上),并尝试确定这是否支持组托管服务帐户,或者我是否必须使用常规域或本地帐户。我搜索了几个小时,但没有找到任何明确的答案。我想知道个人经验或权威答案(来自文档、MS 博客等)。 ...
我正在与一家刚刚起步的 Web 托管商交谈。他们有共享托管和托管 VPS。对于共享托管,我了解到他们有一个脚本来检查进程是否超出内存限制,如果超出,则终止该进程。同样,对于他们的托管 VPS(CentOS-7): ... 托管 VPS 计划是一种托管服务,与我们的共享主机计划完全相同。唯一的区别在于您使用的是 VPS。我们不会监控或限制您在 VPS 上的内存使用情况,因此如果您愿意,您可以随意使用 VPS 上的所有可用系统内存。也就是说,内核确实具有内存不足保护,因此如果您开始占用内核所需的内存,您会看到内核会终止各种进程。 等一下。虚拟内存这个...
我遇到了一个问题,即新创建的托管服务帐户没有“作为服务登录”权限。GPO 将“NT SERVICE\ALL SERVICES”从“作为服务登录”中排除。这个问题已修复。 我是否正确地认为 Install-ADServiceAccount 将 MSA 帐户添加到“NT SERVICE\ALL SERVICES”? ...