- Você tem pelo menos um DC de 2012?
- Você preparou o domínio com Add-KDSRootKey?
- Depois de adicionar os computadores ao gmsaGroup, eles foram reinicializados para obter um novo token que reflita a nova associação ao grupo?
- Quando você cria a conta, eu acho que você precisa usar "PrincipalsAllowedToRetrieveManagedPassword" em vez de "PrincipalsAllowedToDelegateToAccount"
O cmdlet para criar um novo gMSA é "New-ADServiceAccount" e não "Add-ADServiceAccount"
Visão geral do processo link