だからドキュメンテーションgMSA を作成するためのパラメータ「-PrincipalsAllowedToRetrieveManagedPassword」は、パラメータで指定されたセキュリティ グループに属するマシンに gMSA の使用を制限する必要があることを示しています。例:
新しい ADServiceAccount -name dev-service -DNSHostName dev-service -PrincipalsAllowedToRetrieveManagedPassword gMSA-dev-service-allowed-hosts
私の理解では、セキュリティ グループ「gMSA-dev-service-allowed-hosts」に属するマシンのみがアカウント dev-service のパスワードにアクセスできるようにし、それによってアカウントを使用できるマシンを制限する必要があります。
問題は、そのように動作させることができないことです。「gMSA-dev-service-allowed-hosts」のメンバーではないマシンでも、アカウントは問題なく使用できます。
-PrincipalsAllowedToRetrieveManagedPassword の意味を誤解しましたか?
ありがとう
最高、
ダサ
答え1
-PrincipalsAllowedToRetrieveManagedPassword を設定すると、 の使用が制限されますInstall-ADServiceAccount。これは、gMSA を使用する前に実行する必要があるもう 1 つの手順です。gMSA がインストールされると、PrincipalsAllowed 設定に関係なくサービスが開始されます。管理パスワードが変更されるまで。
PrincipalsAllowed エンティティに含まれていない gMSA を使用するコンピューターは、管理パスワードを変更できず、変更後にドメインから管理パスワードを取得できません。権限を持つコンピューターによって gMSA 管理パスワードが変更された場合、PrincipalsAllowed エンティティに含まれていないコンピューターで実行されているサービスへのログオンが失敗します。
特定のgMSAを使用してサービスを実行しているすべてのコンピュータが、そのgMSAのPrincipalsAllowedエンティティに含まれていることを確認する必要があります。意思将来的にサービスを開始/再起動する際に問題が発生します (デフォルトの管理パスワードの変更は 30 日後にスケジュールされているため、1 か月後)。
https://technet.microsoft.com/ja-jp/library/hh852196%28v=wps.630%29.aspx より
ノート 管理されたサービス アカウントを正常にインストールするには、まず New-ADServiceAccount または Set-ADServiceAccount コマンドレットを使用して、サービス アカウントに PrincipalsAllowedToRetrieveManagedPassword パラメーター オプションを設定する必要があります。そうしないと、インストールは失敗します。
例えば
# Running this on APPSERVER1
$appServer1 = Get-ADComputer APPSERVER1
$appServer2 = Get-ADComputer APPSERVER2
$gMSA = New-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2 -DnsHostName 'APP1'
Install-ADServiceAccount 'APP1'
Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1
+ Install-ADServiceAccount 'APP1'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : WriteError: (APP1:String) [Install-ADServiceAccount], ADException
+ FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount
Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer1
Install-ADServiceAccount 'APP1'
最後のコマンドは成功します。サービス資格情報を構成すると、サービスが開始されます。
Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2
これで、サービスを再起動するUninstall-ADServiceAccountと、まだ機能します。ただし、を実行して再インストールしようとすると、上記と同じエラーが発生します。
その間に APPSERVER2 によってパスワードが変更された場合、サービスの開始もログオン失敗で失敗します。
答え2
以下の出力を必ず確認してください。
Test-ADServiceAccount dev-service