Entonces eldocumentaciónpara crear gMSA dice que el parámetro "-PrincipalsAllowedToRetrieveManagedPassword" debe restringir la capacidad de usar gMSA a las máquinas que forman parte de los grupos de seguridad indicados en el parámetro. P.ej
New-ADServiceAccount -name dev-service -DNSHostName dev-service -PrincipalsAllowedToRetrieveManagedPassword gMSA-dev-service-allowed-hosts
Según tengo entendido, debería permitir que solo las máquinas que forman parte del grupo de seguridad "gMSA-dev-service-allowed-hosts" accedan a la contraseña del servicio de desarrollo de la cuenta, limitando así las máquinas que pueden usar la cuenta.
Mi problema es que no consigo que funcione de esa manera. Incluso en una máquina que no sea miembro de "gMSA-dev-service-allowed-hosts", la cuenta se puede utilizar sin problemas.
¿Entendí mal el significado de -PrincipalsAllowedToRetrieveManagedPassword?
Gracias
Mejor,
dsa
Respuesta1
Configurar -PrincipalsAllowedToRetrieveManagedPassword restringe el uso de Install-ADServiceAccount, que es otro paso que debe realizarse antes de poder usar gMSA. Una vez instalado gMSA, el servicio se iniciará independientemente de la configuración de PrincipalsAllowedhasta que cambie la contraseña administrada.
Cualquier computadora que utilice gMSA y que no esté incluida en las entidades PrincipalsAllowed no podrá cambiar la contraseña administrada ni podrá recuperar una contraseña administrada del dominio después de haberla cambiado. Si la contraseña administrada de gMSA fue cambiada por una computadora que tiene los privilegios para hacerlo, eso provocará fallas de inicio de sesión para los servicios que se ejecutan en computadoras que no están en las entidades PrincipalsAllowed.
Debe asegurarse de que cada computadora que ejecute servicios utilizando una gMSA en particular esté incluida en las entidades PrincipalsAllowed para esa gMSA, ovoluntadcausar problemas al iniciar/reiniciar servicios en el futuro (un mes después, ya que los cambios de contraseña administrados predeterminados están programados para 30 días).
https://technet.microsoft.com/en-us/library/hh852196%28v=wps.630%29.aspx
Notas Para instalar correctamente una cuenta de servicio administrada, la cuenta de servicio debe tener configurada primero la opción del parámetro PrincipalsAllowedToRetrieveManagedPassword utilizando primero el cmdlet New-ADServiceAccount o Set-ADServiceAccount. De lo contrario, la instalación fallará.
P.ej
# Running this on APPSERVER1
$appServer1 = Get-ADComputer APPSERVER1
$appServer2 = Get-ADComputer APPSERVER2
$gMSA = New-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2 -DnsHostName 'APP1'
Install-ADServiceAccount 'APP1'
Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1
+ Install-ADServiceAccount 'APP1'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : WriteError: (APP1:String) [Install-ADServiceAccount], ADException
+ FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount
Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer1
Install-ADServiceAccount 'APP1'
El último comando ahora tendrá éxito. Una vez que configure las credenciales del servicio, el servicio se iniciará.
Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2
Ahora, reiniciar el servicio seguirá funcionando. Sin embargo, si realiza una prueba Uninstall-ADServiceAccounty luego intenta volver a instalarla, obtendrá el mismo error que se muestra arriba.
El inicio del servicio también fallará con un error de inicio de sesión si APPSERVER2 cambió la contraseña mientras tanto.
Respuesta2
Asegúrese de examinar el resultado de lo siguiente:
Test-ADServiceAccount dev-service