Conta de serviço gerenciada do grupo (gMSA): get unknown hosts / install-adserviceaccount unknown error

1

Após ter criado com sucesso uma Conta de Serviço Gerenciado do Grupo (gMSA) usando o comando abaixo:

add-adserviceaccount -name gmsaAccount -PrincipalsAllowedToDelegateToAccount gmsaGroup -DNSHostName gmsaAccount.test.local

Estou tendo problemas para ter essa conta instalada nos hosts de destino (membros do grupo gmsaGroup). Gostaria de saber se o problema não está relacionado aos hosts associados à conta de serviço.

Existe uma maneira (comando powershell?) de verificar quais hosts estão associados e autorizados com uma conta de serviço gerenciado de grupo.

Eu tentei get-adserviceaccount -identity gmsaAccount | fl * , mas nada relacionado a hosts ou principalsAllowedToDelegateToAccount é exibido.

Para obter informações, quando tento executar o install-adserviceaccount em um host de destino do Windows2012R2, recebo uma mensagem de "erro desconhecido" inútil (sem código de erro).

    
por HumbleNoob 20.04.2015 / 15:13

1 resposta

1

  1. Você tem pelo menos um DC de 2012?
  2. Você preparou o domínio com Add-KDSRootKey?
  3. Depois de adicionar os computadores ao gmsaGroup, eles foram reinicializados para obter um novo token que reflita a nova associação ao grupo?
  4. Quando você cria a conta, eu acho que você precisa usar "PrincipalsAllowedToRetrieveManagedPassword" em vez de "PrincipalsAllowedToDelegateToAccount"

O cmdlet para criar um novo gMSA é "New-ADServiceAccount" e não "Add-ADServiceAccount"

Visão geral do processo link

    
por 22.04.2015 / 15:53