Итакдокументациядля создания gMSAs говорится, что параметр "-PrincipalsAllowedToRetrieveManagedPassword" должен ограничивать возможность использования gMSA для машин, которые являются частью групп безопасности, указанных в параметре. Например:
New-ADServiceAccount -name dev-service -DNSHostName dev-service -PrincipalsAllowedToRetrieveManagedPassword gMSA-dev-service-allowed-hosts
Насколько я понимаю, это должно разрешить доступ к паролю учетной записи dev-service только тем машинам, которые входят в группу безопасности «gMSA-dev-service-allowed-hosts», тем самым ограничивая количество машин, которые могут использовать эту учетную запись.
Моя проблема в том, что я не могу заставить его работать таким образом. Даже на машине, которая не является членом "gMSA-dev-service-allowed-hosts", учетная запись может использоваться без проблем.
Я неправильно понял значение -PrincipalsAllowedToRetrieveManagedPassword?
Спасибо
Лучший,
дса
решение1
Настройка -PrincipalsAllowedToRetrieveManagedPassword ограничивает использование Install-ADServiceAccount, что является еще одним шагом, который необходимо выполнить, прежде чем вы сможете использовать gMSA. После установки gMSA служба запустится независимо от настройки PrincipalsAllowedпока не изменится управляемый пароль.
Любой компьютер, использующий gMSA, который не включен в сущности PrincipalsAllowed, не сможет изменить управляемый пароль, а также не сможет получить управляемый пароль из домена после его изменения. Если управляемый пароль gMSA был изменен компьютером, имеющим на это привилегии, это приведет к сбоям входа в систему для служб, работающих на компьютерах, которые не включены в сущности PrincipalsAllowed.
Вы должны убедиться, что каждый компьютер, на котором запущены службы, использующие определенную gMSA, включен в сущности PrincipalsAllowed для этой gMSA, иливолявызвать проблемы с запуском/перезапуском служб в дальнейшем (через месяц, поскольку смена управляемого пароля по умолчанию запланирована на 30 дней).
https://technet.microsoft.com/en-us/library/hh852196%28v=wps.630%29.aspx
Примечания Для успешной установки управляемой учетной записи службы, учетная запись службы должна иметь параметр PrincipalsAllowedToRetrieveManagedPassword, установленный первым с помощью командлета New-ADServiceAccount или Set-ADServiceAccount. В противном случае установка завершится ошибкой.
Например
# Running this on APPSERVER1
$appServer1 = Get-ADComputer APPSERVER1
$appServer2 = Get-ADComputer APPSERVER2
$gMSA = New-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2 -DnsHostName 'APP1'
Install-ADServiceAccount 'APP1'
Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1
+ Install-ADServiceAccount 'APP1'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : WriteError: (APP1:String) [Install-ADServiceAccount], ADException
+ FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount
Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer1
Install-ADServiceAccount 'APP1'
Последняя команда теперь будет выполнена успешно. После настройки учетных данных службы служба запустится.
Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2
Теперь перезапуск службы все еще будет работать. Однако если вы выполните Uninstall-ADServiceAccountи затем попытаетесь переустановить ее, вы получите ту же ошибку, что показана выше.
Запуск службы также завершится ошибкой входа в систему, если в это время APPSERVER2 изменил пароль.
решение2
Обязательно проверьте выходные данные следующих команд:
Test-ADServiceAccount dev-service