У нас есть RODC на сайте DMZ, и мы хотели бы использовать GMSA, но проблема в том, что, поскольку контроллеры домена доступны только для чтения, мне кажется, что мне нужно установить пароль при создании новой учетной записи, например:
New-ADServiceAccount -name STEST01_gmsa -DNSHostName STEST01_gmsa.mydomain.local -AccountPassword (ConvertTo-SecureString -AsPlainText "MyPassword" -Force) -Enabled $true -PrincipalsAllowedToRetrieveManagedPassword MyGROUP_TEST01_GMSA
Проблема в том, что я уже использовал много разных способов, и ни один из них не работал. Эта последняя команда возвращает следующую ошибку:
New-ADServiceAccount: набор параметров не может быть разрешен с использованием указанных именованных параметров. В строке: 1 символ: 1
- Новый-ADServiceAccount -name STEST01_gmsa -PrincipalsAllowedToRetrieveM ...
+ CategoryInfo : InvalidArgument: (:) [New-ADServiceAccount], ParameterBindingException + FullyQualifiedErrorId :
AmbiguousParameterSet, Microsoft.ActiveDirectory.Management.Commands.NewADServiceAccount
Пожалуйста, помогите разобраться, чего здесь не хватает.