Назад | Перейти на главную страницу

Групповые управляемые учетные записи служб: -PrincipalsAllowedToRetrieveManagedPassword

Так что документация для создания gMSA говорит, что параметр «-PrincipalsAllowedToRetrieveManagedPassword» должен ограничивать возможность использования gMSA для машин, которые являются частью групп безопасности, указанных в параметре. Например.

New-ADServiceAccount -name dev-service -DNSHostName dev-service -PrincipalsAllowedToRetrieveManagedPassword gMSA-dev-service-allowed-hosts

должен, насколько я понимаю, разрешать доступ к паролю учетной записи dev-service только машинам, входящим в группу безопасности «gMSA-dev-service-allowed-hosts», тем самым ограничивая машины, которые могут использовать учетную запись.

Моя проблема в том, что я не могу заставить его так работать. Даже на машине, которая не входит в группу «gMSA-dev-service-allowed-hosts», учетную запись можно использовать без проблем.

Я неправильно понял значение -PrincipalsAllowedToRetrieveManagedPassword?

Спасибо

Лучший,

dsa

Установка -PrincipalsAllowedToRetrieveManagedPassword ограничивает использование Install-ADServiceAccount, это еще один шаг, который необходимо выполнить, прежде чем вы сможете использовать gMSA. После установки gMSA служба запустится независимо от настройки PrincipalsAllowed. пока управляемый пароль не изменится.

Любой компьютер, использующий gMSA, который не включен в сущности PrincipalsAllowed, не сможет изменить управляемый пароль и не сможет получить управляемый пароль из домена после его изменения. Если управляемый пароль gMSA был изменен компьютером, имеющим соответствующие права, это вызовет сбои при входе в систему для служб, запущенных на компьютерах, не входящих в объекты PrincipalsAllowed.

Вы должны убедиться, что каждый компьютер, на котором запущены службы, использующие конкретную gMSA, включен в объекты PrincipalsAllowed для этого gMSA, или воля вызвать проблемы с запуском / перезапуском служб (через месяц, поскольку изменение управляемого пароля по умолчанию запланировано на 30 дней).

https://technet.microsoft.com/en-us/library/hh852196%28v=wps.630%29.aspx

Ноты Чтобы успешно установить управляемую учетную запись службы, для учетной записи службы необходимо сначала задать параметр PrincipalsAllowedToRetrieveManagedPassword с помощью командлета New-ADServiceAccount или Set-ADServiceAccount. В противном случае установка не удастся.

Например.

# Running this on APPSERVER1

$appServer1 = Get-ADComputer APPSERVER1
$appServer2 = Get-ADComputer APPSERVER2

$gMSA = New-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2 -DnsHostName 'APP1'

Install-ADServiceAccount 'APP1'
Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1
+ Install-ADServiceAccount 'APP1'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : WriteError: (APP1:String) [Install-ADServiceAccount], ADException
    + FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount

Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer1

Install-ADServiceAccount 'APP1'

Последняя команда теперь будет успешной. После настройки учетных данных службы она запустится.

Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2

Теперь перезапуск службы по-прежнему будет работать. Однако если вы выполните Uninstall-ADServiceAccount а затем попробуйте переустановить его, вы получите ту же ошибку, что и выше.

Запуск службы также завершится ошибкой входа в систему, если APPSERVER2 тем временем сменил пароль.

Убедитесь, что вы изучили вывод следующего:

Test-ADServiceAccount dev-service