gMSA и контроллеры домена только для чтения
Среда Windows Server 2019
У меня есть 2 контроллера домена с возможностью записи и 1 контроллер домена только для чтения в DMZ, и все они должны будут использовать gMSA для некоторого программного обеспечения, которое мы развертываем. Я впервые использую gMSA/MSA, и хотя создание и развертывание на моих записываемых контроллерах домена прошло хорошо, RODC выдал ошибку:
'''Install-ADServiceAccount: невозможно установить учетную запись службы. Сообщение об ошибке: '{Доступ запрещен} Процесс запросил доступ к объекту, но ему не были предоставлены эти права доступа.'''
На основе более ранней темы здесь:групповые управляемые учетные записи служб (GMSA) и контроллеры домена только для чтения (RODC).
Я нашел некоторую документацию, которая, кажется, указывает на то, что вы не можете сделать то же самое на RODC, но я не понимаю, как действовать. Сначала кажется, что мне нужно будет пойти в RODC и создать обычный MSA с тем же именем учетной записи, что и у gMSA, который я уже настроил. Однако некоторые другие выводы заставляют меня думать, что это может быть проблема с флагом «PrincipalsAllowedToRetrieveManagedPassword». Во время создания gMSA на моем эмуляторе PDC я установил флаг как «-PrincipalsAllowedToRetrieveManagedPassword «Контроллеры домена»». Следует ли вместо этого установить его как «-PrincipalsAllowedToRetrieveManagedPassword «Контроллеры домена», «Контроллеры домена только для чтения»? Конечно, когда я проверяю вкладку «Члены» в учетной записи компьютера RODC, он не указан как член «Контроллеров домена», например два записываемых. Находится ли эта идея на правильном пути? Если да, то как отредактировать существующий gMSA, чтобы позволить RODC получить его пароль?
Учитывая, что цель RODC заключается в том, что он не кэширует пароли, я подозреваю, что я на неправильном пути, и что локальная автономная учетная запись с тем же именем (поскольку менеджер программного обеспечения продиктовал имя мне) придется использовать. Так ли это на самом деле? Если да, имеет ли значение, если gMSA «ИМЯ X» и локальный MSA «ИМЯ X» имеют одно и то же имя, но разные пароли, сгенерированные компьютером?
Новая почва, и я, к сожалению, немного не уверен, как разобрать имеющуюся у меня информацию.