Групповые управляемые учетные записи служб: -PrincipalsAllowedToRetrieveManagedPassword
Таким образом, в документации по созданию gMSA говорится, что параметр "-PrincipalsAllowedToRetrieveManagedPassword" должен ограничивать возможность использования gMSA для компьютеров, которые являются частью групп безопасности, указанных в параметре. Например
New-ADServiceAccount -name dev-service -DNSHostName dev-service -PrincipalsAllowedToRetrieveManagedPassword gMSA-dev-service-allow-hosts
должен, насколько я понимаю, разрешить доступ к паролю учетной записи dev-service только тем компьютерам, которые входят в группу безопасности "gMSA-dev-service-enabled-hosts", тем самым ограничивая компьютеры, которые могут использовать эту учетную запись.
Моя проблема в том, что я не могу заставить его работать таким образом. Даже на компьютере, который не является членом "gMSA-dev-service-allow-hosts", учетную запись можно использовать без проблем.
Я неправильно понял значение -PrincipalsAllowedToRetrieveManagedPassword?
Спасибо
Лучший,
АСС
2 ответа
Установка -PrincipalsAllowedToRetrieveManagedPassword ограничивает использование Install-ADServiceAccountЭто еще один шаг, который должен произойти, прежде чем вы сможете использовать gMSA. После установки gMSA служба будет запускаться независимо от значения PrincipalsAllowed до тех пор, пока не изменится управляемый пароль.
Любой компьютер, использующий gMSA, который не включен в сущности PrincipalsAllowed, не сможет изменить управляемый пароль и не сможет получить управляемый пароль из домена после его изменения. Если пароль, управляемый gMSA, был изменен компьютером, обладающим такими правами, это приведет к сбоям входа в систему для служб, работающих на компьютерах, которые не входят в сущности PrincipalsAllowed.
Вы должны убедиться, что каждый компьютер, на котором запущены службы, использующие конкретную gMSA, включен в сущности PrincipalsAllowed для этой gMSA, иначе это вызовет проблемы с запуском / перезапуском служб в прямом эфире (через месяц, так как изменение управляемого пароля по умолчанию запланировано на 30 дней).
https://technet.microsoft.com/en-us/library/hh852196%28v=wps.630%29.aspx
Примечания.Чтобы успешно установить управляемую учетную запись службы, для этой учетной записи службы сначала должен быть установлен параметр PrincipalsAllowedToRetrieveManagedPassword с помощью командлета New-ADServiceAccount или Set-ADServiceAccount.В противном случае установка не удастся.
Например
# Running this on APPSERVER1
$appServer1 = Get-ADComputer APPSERVER1
$appServer2 = Get-ADComputer APPSERVER2
$gMSA = New-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2 -DnsHostName 'APP1'
Install-ADServiceAccount 'APP1'
Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1
+ Install-ADServiceAccount 'APP1'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : WriteError: (APP1:String) [Install-ADServiceAccount], ADException
+ FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount
Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer1
Install-ADServiceAccount 'APP1'
Последняя команда теперь будет выполнена успешно. Как только вы настроите учетные данные службы, служба запустится.
Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2
Теперь перезапуск сервиса все равно будет работать. Однако, если вы выполните Uninstall-ADServiceAccount и затем попробуйте переустановить его, вы получите ту же ошибку, показанную выше.
Запуск службы также завершится с ошибкой входа в систему, если APPSERVER2 за это время изменил пароль.
Убедитесь, что вы изучили вывод следующего:
Test-ADServiceAccount dev-service