Разрешить интерактивный вход в учетную запись службы, управляемой группой (gMSA)
Я пытаюсь устранить проблему с gMSA, и ошибка отображается в интерактивном режиме. psexec заблокирован sophos, что довольно сложно внести в белый список (это был бы верный способ получить интерактивный сеанс).
Я попробовал поместить gMSA во все очевидные группы. Пробовал войти через rdp, но выдает "Для удаленного входа необходимо право......". Пробовал руны. Pssession работает, но не в интерактивном режиме. start-process выдает «Ошибка входа в систему: пользователю не предоставлен запрошенный тип входа на этом компьютере».
Где gMSA заблокирован от интерактивного входа в систему? Этого нет в политике запрета, я попробовал добавить ее в политику интерактивного входа. Все безрезультатно. Кажется, это где-то жестко запрограммировано Microsoft.
1 ответ
Чтобы ответить на мой собственный вопрос: измените urserAccountControl в активном каталоге с 0x1000 (WORKSTATION_TRUST_ACCOUNT) на 0x200 (NORMAL_ACCOUNT).
Теперь это по сути «обычный» аккаунт. По крайней мере, у меня сейчас rdp работает.