A definição de -PrincipalsAllowedToRetrieveManagedPassword restringe o uso de Install-ADServiceAccount
, que é outra etapa que deve acontecer antes que você possa usar o gMSA. Depois que o gMSA for instalado, o serviço será iniciado independentemente da configuração de PrincipalsAllowed até que a senha gerenciada seja alterada .
Qualquer computador que use o gMSA que não esteja incluído nas entidades do PrincipalsAllowed não poderá alterar a senha gerenciada nem poderá recuperar uma senha gerenciada do domínio após a alteração. Se a senha gerenciada pelo gMSA tiver sido alterada por um computador que tenha os privilégios para fazer isso, isso causará falhas de logon em serviços executados em computadores que não estejam nas entidades PrincipalsAllowed.
Você deve garantir que todos os computadores que executam serviços usando um gMSA específico sejam incluídos nas entidades do PrincipalsAllowed para esse gMSA, ou causará problemas ao iniciar / reiniciar serviços no final da linha (um mês depois, como as alterações de senha gerenciadas padrão estão agendadas para 30 dias).
Notas Para instalar com êxito uma conta de serviço gerenciada, a conta de serviço deve ter a opção de parâmetro PrincipalsAllowedToRetrieveManagedPassword definida primeiro usando o cmdlet New-ADServiceAccount ou Set-ADServiceAccount primeiro. Caso contrário, a instalação falhará.
Por exemplo,
# Running this on APPSERVER1
$appServer1 = Get-ADComputer APPSERVER1
$appServer2 = Get-ADComputer APPSERVER2
$gMSA = New-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2 -DnsHostName 'APP1'
Install-ADServiceAccount 'APP1'
Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1
+ Install-ADServiceAccount 'APP1'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : WriteError: (APP1:String) [Install-ADServiceAccount], ADException
+ FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount
Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer1
Install-ADServiceAccount 'APP1'
O último comando será bem sucedido. Depois de configurar as credenciais de serviço, o serviço será iniciado.
Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2
Agora, reiniciar o serviço ainda funcionará. No entanto, se você executar um Uninstall-ADServiceAccount
e tentar reinstalá-lo, receberá o mesmo erro mostrado acima.
Iniciar o serviço também falhará com uma falha de logon se a senha foi alterada por APPSERVER2 nesse meio tempo.