试图利用集团pipe理的服务帐户(gMSA)的好处,但有一个混合的环境。 我的指南是这个博客文章: https : //blogs.technet.microsoft.com/askpfeplat/2012/12/16/windows-server-2012-group-managed-service-accounts/
我已经在指南中实现了,在Server 2012+机器上进行了testing。 但是现在我想在Windows 7机器上使用相同的gMSA帐户来运行与上面相同的服务。 运行这个Win7框的步骤:
安装ADServiceAccount gMSA帐户名称
导致无法find标识为“gMSA-account-name”的对象。 如果我通过GUID,SID或完整的专有名称path识别这个帐户,这仍然是真实的。
如果我可以在早于Server 2012的操作系统(例如Windows 7)上使用这样的帐户,那么searchWWW并不会回答。我想象如果这样的事情是可能的,以某种方式扩展AD架构,使Win7可以理解这种新型帐户将需要(通过ADMX文件?)
感谢您的期待!
与Windows Server 2012对应的Windows桌面版本是Windows 8.因此,至less需要Windows 8或更新的版本才能使用gMSA。 在Windows 7(和2008 R2)上只能使用非组MSA。
集团托pipe服务帐户概览
托pipe服务帐户(和虚拟计算机帐户)适用于Windows Server 2008 R2和Windows Server 2012.组托pipe服务帐户只能在运行Windows Server 2012的计算机上configuration和pipe理,但可以作为单个服务标识解决scheme部署在域仍然有一些DC运行Windows Server 2012之前的操作系统。没有域或林function级别的要求。
微软极不可能支持在现在的传统操作系统上实现gMSA所必需的function。