Попытка использовать преимущества групповых учетных записей служб (gMSA), но имеет смешанную среду. Моим руководством было это сообщение в блоге: https://blogs.technet.microsoft.com/askpfeplat/2012/12/16/windows-server-2012-group-managed-service-accounts/
Я реализовал, как в руководстве, протестировал на машине Server 2012+. НО теперь я хочу использовать ту же учетную запись gMSA для запуска той же службы, что и выше, на машине с Windows 7. Выполняя этот шаг, окно Win7:
Install-ADServiceAccount gMSA-account-name
приводит к тому, что не удается найти объект с идентификатором "gMSA-account-name". Это остается верным, если я идентифицирую эту учетную запись через GUID, SID или полный путь отличительного имени.
Поиск в WWW не дает ответа на вопрос, могу ли я использовать такую учетную запись в ОС более ранней, чем Server 2012, то есть в Windows 7. Я бы предположил, что если бы такое было возможно, каким-то образом расширив схему AD, чтобы Win7 могла понять этот новый тип учетной записи. потребуется (через файлы ADMX?)
Спасибо, что посмотрели!
Версия Windows для настольных ПК, которая соответствует Windows Server 2012, - это Windows 8. Поэтому для использования gMSA вам потребуется как минимум Windows 8 или новее. В Windows 7 (и 2008 R2) можно использовать только негрупповые MSA.
Обзор групповых управляемых учетных записей служб
Управляемые учетные записи служб (и учетные записи виртуальных компьютеров) применимы как к Windows Server 2008 R2, так и к Windows Server 2012. Групповые управляемые учетные записи служб можно настраивать и администрировать только на компьютерах под управлением Windows Server 2012, но их можно развернуть как решение для идентификации одной службы в доменах, которые на некоторых контроллерах домена по-прежнему установлены операционные системы, предшествующие Windows Server 2012. Требования к функциональному уровню домена или леса отсутствуют.
Маловероятно, что Microsoft поддержит перенос функций, необходимых для реализации gMSA в устаревших операционных системах.