Also dasDokumentationzum Erstellen von gMSAs besagt, dass der Parameter „-PrincipalsAllowedToRetrieveManagedPassword“ die Möglichkeit zur Verwendung des gMSA auf die Maschinen beschränken sollte, die Teil der im Parameter angegebenen Sicherheitsgruppen sind. Beispiel:
Neuer ADServiceAccount -name dev-service -DNSHostName dev-service -PrincipalsAllowedToRetrieveManagedPassword gMSA-dev-service-allowed-hosts
sollte, so wie ich es verstehe, nur den Maschinen, die Teil der Sicherheitsgruppe „gMSA-dev-service-allowed-hosts“ sind, den Zugriff auf das Kennwort des Kontos dev-service erlauben und dadurch die Maschinen einschränken, die das Konto verwenden können.
Mein Problem ist, dass ich es so nicht zum Laufen bekomme. Auch auf einer Maschine, die kein Mitglied von "gMSA-dev-service-allowed-hosts" ist, lässt sich der Account problemlos nutzen.
Habe ich die Bedeutung von -PrincipalsAllowedToRetrieveManagedPassword falsch verstanden?
Danke
Am besten,
dsa
Antwort1
Durch Festlegen von -PrincipalsAllowedToRetrieveManagedPassword wird die Verwendung von eingeschränkt Install-ADServiceAccount. Dies ist ein weiterer Schritt, der ausgeführt werden muss, bevor Sie das gMSA verwenden können. Sobald das gMSA installiert ist, wird der Dienst unabhängig von der Einstellung PrincipalsAllowed gestartet.bis sich das verwaltete Passwort ändert.
Jeder Computer, der das gMSA verwendet und nicht in den PrincipalsAllowed-Entitäten enthalten ist, kann das verwaltete Kennwort nicht ändern und auch kein verwaltetes Kennwort aus der Domäne abrufen, nachdem es geändert wurde. Wenn das verwaltete gMSA-Kennwort von einem Computer geändert wurde, der über die entsprechenden Berechtigungen verfügt, führt dies zu Anmeldefehlern für Dienste, die auf Computern ausgeführt werden, die nicht in den PrincipalsAllowed-Entitäten enthalten sind.
Sie müssen sicherstellen, dass jeder Computer, der Dienste unter Verwendung eines bestimmten gMSA ausführt, in den PrincipalsAllowed-Entitäten für dieses gMSA enthalten ist, oder esWilleDies kann zu Problemen beim Starten/Neustarten von Diensten führen (einen Monat später, da die standardmäßig verwalteten Kennwortänderungen alle 30 Tage geplant sind).
https://technet.microsoft.com/en-us/library/hh852196%28v=wps.630%29.aspx
Anmerkungen Um ein verwaltetes Dienstkonto erfolgreich zu installieren, muss für das Dienstkonto zuerst die Parameteroption PrincipalsAllowedToRetrieveManagedPassword festgelegt werden. Verwenden Sie dazu entweder das Cmdlet New-ADServiceAccount oder Set-ADServiceAccount. Andernfalls schlägt die Installation fehl.
Z.B
# Running this on APPSERVER1
$appServer1 = Get-ADComputer APPSERVER1
$appServer2 = Get-ADComputer APPSERVER2
$gMSA = New-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2 -DnsHostName 'APP1'
Install-ADServiceAccount 'APP1'
Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1
+ Install-ADServiceAccount 'APP1'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : WriteError: (APP1:String) [Install-ADServiceAccount], ADException
+ FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount
Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer1
Install-ADServiceAccount 'APP1'
Der letzte Befehl wird nun erfolgreich ausgeführt. Sobald Sie die Dienstanmeldeinformationen konfiguriert haben, wird der Dienst gestartet.
Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2
Ein Neustart des Dienstes funktioniert weiterhin. Wenn Sie jedoch einen Neustart durchführen Uninstall-ADServiceAccountund dann versuchen, ihn erneut zu installieren, wird der gleiche Fehler wie oben angezeigt angezeigt.
Der Start des Dienstes schlägt auch dann mit einem Anmeldefehler fehl, wenn das Kennwort zwischenzeitlich von APPSERVER2 geändert wurde.
Antwort2
Stellen Sie sicher, dass Sie die folgende Ausgabe prüfen:
Test-ADServiceAccount dev-service