服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 组pipe理服务帐户(gMSA):获取授权主机/安装 – adservice帐户未知错误
Intereting Posts
Exchange 2007 – 从MY域发送垃圾邮件,但无效的随机用户 CentOS7 – 厨师(开源)设置错误 如何在服务器上使用小型SSD驱动器? 什么是最好的方式来阻止在Nginx的URL? logrotate httpd上centOS 6.4 获取Linux机器的root权限 自定义服务的Linux目录约定 如何在Linux下专门侦听VNC服务器的IP? CPU是如何进入空闲状态进入更深的C状态的? AD2003和AD2008:用户为2个不同的OU工作,我们想给他们不同的权限,取决于他们在哪里工作? 在nginx反向代理背后的WordPress不工作在https 旧服务器正在退役,但需要指向它的urlredirect到新服务器 为什么Glassfish有时会如此缓慢? 在XFCE w / GDM中启用XDMCP(XFCE中的VNC服务器) 带有重音字母的path中的Apache + PHP

组pipe理服务帐户(gMSA):获取授权主机/安装 – adservice帐户未知错误

使用以下命令成功创build了一个Group Managed Service Account(gMSA)后: 

add-adserviceaccount -name gmsaAccount -PrincipalsAllowedToDelegateToAccount gmsaGroup -DNSHostName gmsaAccount.test.local

我无法在目标主机上安装此帐户(gmsaGroup组的成员)。 我不知道问题是否与服务帐户相关的主机相关。

有没有一种方法(powershell命令?)来validation哪些主机与组pipe理的服务帐户关联和授权。

我试过get-adserviceaccount -identity gmsaAccount | fl * get-adserviceaccount -identity gmsaAccount | fl *但没有任何与主机或principalsAllowedToDelegateToAccount相关的principalsAllowedToDelegateToAccount被显示。

有关信息,当我尝试在目标Windows2012R2主机上运行install-adserviceaccount时,出现无用的“未知错误”消息(无错误代码)。

  1. 你有至less一个2012年的DC吗?
  2. 你准备与Add-KDSRootKey域?
  3. 将计算机添加到gmsaGroup之后,是否重新启动以获取反映新组成员身份的新令牌?
  4. 当您创build帐户时,我认为您需要使用“PrincipalsAllowedToRetrieveManagedPassword”而不是“PrincipalsAllowedToDelegateToAccount”

创build新gMSA的cmdlet是“New-ADServiceAccount”而不是“Add-ADServiceAccount”

stream程概述http://blogs.technet.com/b/askpfeplat/archive/2012/12/17/windows-server-2012-group-managed-service-accounts.aspx