Назад | Перейти на главную страницу

Групповые управляемые учетные записи служб (GMSA) и контроллеры домена только для чтения (RODC)

У нас есть RODC на сайте DMZ, и мы хотели бы использовать GMSA, но проблема в том, что, поскольку контроллеры домена доступны только для чтения, мне кажется, что мне нужно установить пароль при создании новой учетной записи, например:

New-ADServiceAccount -name STEST01_gmsa -DNSHostName STEST01_gmsa.mydomain.local -AccountPassword (ConvertTo-SecureString -AsPlainText "MyPassword" -Force) -Enabled $true -PrincipalsAllowedToRetrieveManagedPassword MyGROUP_TEST01_GMSA

Проблема в том, что я уже использовал много разных способов, и ни один из них не работал. Эта последняя команда возвращает следующую ошибку:

New-ADServiceAccount: набор параметров не может быть разрешен с использованием указанных именованных параметров. В строке: 1 символ: 1

  • Новый-ADServiceAccount -name STEST01_gmsa -PrincipalsAllowedToRetrieveM ...
  •   + CategoryInfo          : InvalidArgument: (:) [New-ADServiceAccount], ParameterBindingException
      + FullyQualifiedErrorId : 
    

AmbiguousParameterSet, Microsoft.ActiveDirectory.Management.Commands.NewADServiceAccount

Пожалуйста, помогите разобраться, чего здесь не хватает.