Как запустить приложение под вторичным GMSA в контейнере Docker?

Документация Microsoft о создании GMSA для контейнеров Docker гласит:

Контейнеры также можно настроить с помощью дополнительных gMSA, если вы хотите запустить службу или приложение в контейнере с идентификатором, отличным от учетной записи компьютера контейнера.

Это именно то, что я хочу сделать. Поэтому я создал такую ​​спецификацию учетных данных:

New-CredentialSpec -AccountName WebApp01 -AdditionalAccounts LogAgentSvc

Теперь я хочу запустить приложение под учетной записью службы LogAgentSvc, но как мне это сделать? Читая документацию по настройке приложения , вы не должны запускать приложение напрямую под GMSA. Вместо этого вам рекомендуется запустить приложение (или службу) в папке «NT AUTHORITY\NETWORK SERVICE». Хотя во введении к документации на этой странице упоминается возможность запуска приложения под вторичным GMSA, шаги для этого не описаны. Я попытался запустить рассматриваемую службу напрямую под GMSA, но это привело к обычной ошибке входа в систему.