该文档包含示例:
New-ADServiceAccount service1 -DNSHostName service1.contoso.com -Enabled $true 该参数是必需的。 DNSHostName的目的究竟是什么,我应该如何决定将其设置为什么?
经过一段时间的这些帐户,我想我找出原因:
他们是一些子集,或者是机器types账户的衍生物。 因此,它们从它们inheritance这个属性,并且由于它是机器types所必需的,所以它也是gMSA所必需的。
你可以检查两个types在属性集合中是否紧密匹配。 同样在所有的TechNet 文档中,他们只是给这个属性gmsa-name.contoso.com提供一个简单的唯一值,就像机器账户拥有它一样。
不知道为什么他们没有自动生成它,并让我们思考和打字。
当你添加参数-RestrictToSingleComputer它不再是必需的。 当然你应该在使用之前阅读这个选项。
喜欢:
New-ADServiceAccount service1 -Enabled $true -RestrictToSingleComputer
我不是这方面的专家。 但是,关于这个话题的信息太less,我认为值得发表我所知道的东西
当他演示New-ADServiceAccount cmdlet时,我所使用的70-411课程的培训师使用域控制器的FQDN作为DNSHostName参数的值。 据我了解, DNSHostName只是告诉cmdlet哪个域控制器创build帐户。 我不认为你使用哪个DC是重要的,那些gMSA似乎立即复制。 我一直在指定DNSHostName给我的一个DC,它似乎工作到目前为止。
我真的宁愿有一些具体的文件。 对于DNSHostName参数, 适用的TechNet命令参考只是重复的废话。
我的经验似乎表明它正在寻找一个DC。 我在成员服务器上运行testing,并提示input-DNSHostName我从DC运行相同的testing,并没有收到提示。
看看这个链接: http : //blogs.technet.com/b/askpfeplat/archive/2012/12/17/windows-server-2012-group-managed-service-accounts.aspx
DNSHostName是您的服务帐户名称的完全合格的域名。
New-ADServiceAccount -name -DNSHostName
我正在寻找一个很长的答案,终于find一个对我来说是真实的。
-DNSHostName应该是保存KDS主密钥的DC的FQDN – msKds-ProvRootKey。
很有可能您已经创build了这个目录 – 查看您的AD林的configuration分区中的组密钥分发服务容器。
也许你可以使用森林里的任何DC,只要你在-PrincipalsAllowedToRetrieveManagedPassword
所有上述代表“新”gMSA,所以如果你想使用旧的MSA,只是忘记,因为它不是必需的,然后只是使用-RestrictToSingleComputerlocking一个帐户,一些服务器的-DNSHostName。
希望有所帮助。
https://social.technet.microsoft.com/Forums/windowsserver/en-US/9a66d1d5-44e9-4ea1-ba9c-88862023c4e1/why-does-a-gmsa-need-a-dns-host-name-eg- newadserviceaccount-DNSHOSTNAME?论坛= winserver8gen