群組託管服務帳戶：-PrincipalsAllowedToRetrieveManagedPassword

設定 -PrincipalsAllowedToRetrieveManagedPassword 會限制 的使用Install-ADServiceAccount，這是在您能夠使用 gMSA 之前必須執行的另一個步驟。安裝 gMSA 後，無論「PrincipalsAllowed」設定如何，該服務都會啟動直到管理密碼更改。

任何使用未包含在PrincipalsAllowed 實體中的gMSA 的電腦將無法變更託管密碼，也無法在變更後從網域檢索託管密碼。如果具有執行此操作權限的電腦變更了 gMSA 託管密碼，則將導致不在「PrincipalsAllowed」實體中的電腦上執行的服務登入失敗。

您必須確保使用特定 gMSA 運行服務的每台電腦都包含在該 gMSA 的「PrincipalsAllowed」實體中，否則它將要導致啟動/重新啟動服務出現問題（一個月後，因為預設管理密碼變更計畫為 30 天）。

https://technet.microsoft.com/en-us/library/hh852196%28v=wps.630%29.aspx

筆記 若要成功安裝託管服務帳戶，服務帳戶應先使用 New-ADServiceAccount 或 Set-ADServiceAccount cmdlet 設定PrincipalsAllowedToRetrieveManagedPassword 參數選項。否則，安裝將會失敗。

例如

# Running this on APPSERVER1

$appServer1 = Get-ADComputer APPSERVER1
$appServer2 = Get-ADComputer APPSERVER2

$gMSA = New-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2 -DnsHostName 'APP1'

Install-ADServiceAccount 'APP1'
Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1
+ Install-ADServiceAccount 'APP1'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : WriteError: (APP1:String) [Install-ADServiceAccount], ADException
    + FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount

Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer1

Install-ADServiceAccount 'APP1'

最後一個命令現在將成功。配置服務憑證後，服務將啟動。

Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2

現在，重新啟動服務仍然有效。但是，如果您執行Uninstall-ADServiceAccount然後嘗試重新安裝它，您將收到與上面顯示的相同的錯誤。

如果同時 APPSERVER2 變更了密碼，啟動服務也會失敗並導致登入失敗。

確保檢查以下內容的輸出：

Test-ADServiceAccount dev-service