组托pipe服务帐户：-PrincipalsAllowedRetrieveManagedPassword

设置-PrincipalsAllowedToRetrieveManagedPassword会限制使用Install-ADServiceAccount ，这是在您使用gMSA之前必须发生的另一个步骤。 一旦安装了gMSA，服务将启动，无论允许PrincipalsAllowed设置， 直到pipe理的密码更改 。

任何使用未包含在PrincipalsAllowed实体中的gMSA的计算机将无法更改托pipe密码，也不能在更改后从域中检索托pipe密码。 如果具有权限的计算机更改了gMSApipe理的密码，则会导致在不在PrincipalsAllowed实体中的计算机上运行的服务发生login失败。

您必须确保使用特定gMSA运行服务的每台计算机都包含在适用于该gMSA的PrincipalsAllowed实体中，否则将导致启动/重新启动服务时出现问题（一个月后，由于默认的托pipe密码更改计划在30天）。

https://technet.microsoft.com/en-us/library/hh852196%28v=wps.630%29.aspx

备注 要成功安装托pipe服务帐户，服务帐户应首先使用New-ADServiceAccount或Set-ADServiceAccount cmdlet设置PrincipalsAllowedToRetrieveManagedPassword参数选项。 否则，安装将失败。

例如

 # Running this on APPSERVER1 $appServer1 = Get-ADComputer APPSERVER1 $appServer2 = Get-ADComputer APPSERVER2 $gMSA = New-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2 -DnsHostName 'APP1' Install-ADServiceAccount 'APP1' Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'. At line:1 char:1 + Install-ADServiceAccount 'APP1' + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : WriteError: (APP1:String) [Install-ADServiceAccount], ADException + FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer1 Install-ADServiceAccount 'APP1' 

最后的命令现在将成功。 一旦你configuration了服务凭证，服务就会启动。

 Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2 

现在，重新启动服务将仍然有效。 但是，如果您执行Uninstall-ADServiceAccount然后尝试重新安装它，您将得到上面显示相同的错误。

与此同时，如果APPSERVER2更改了密码，则启动服务也将失败并导致login失败。

确保你检查下面的输出：

 Test-ADServiceAccount dev-service