Active-Directory

組託管服務帳戶 (GMSA) 和只讀域控制器 (RODC)

  • November 4, 2020

我們在 DMZ 站點中有 RODC,我們想使用 GMSA,但問題是由於域控制器是只讀的,似乎我必須在創建新帳戶時設置密碼,例如:

New-ADServiceAccount -name STEST01_gmsa -DNSHostName STEST01_gmsa.mydomain.local -AccountPassword (ConvertTo-SecureString -AsPlainText "MyPassword" -Force) -Enabled $true -PrincipalsAllowedToRetrieveManagedPassword MyGROUP_TEST01_GMSA

問題是我已經有很多不同的方法,但都沒有奏效。最後一條命令返回以下錯誤:

New-ADServiceAccount :無法使用指定的命名參數解析參數集。在行:1 字元:1

  • 新 ADServiceAccount -name STEST01_gmsa -PrincipalsAllowedToRetrieveM …
  • + CategoryInfo          : InvalidArgument: (:) [New-ADServiceAccount], ParameterBindingException
    + FullyQualifiedErrorId : 
    


模糊參數集,Microsoft.ActiveDirectory.Management.Commands.NewADServiceAccount

請幫助弄清楚這裡缺少什麼。

對於 gMSA,“AccountPassword”屬性將被忽略,它可用於標準 MSA,例如您描述的對域控制器沒有可寫訪問權限的情況。

引用 Microsoft 文件:“在這種情況下,您應該創建獨立 MSA,將其與適當的電腦帳戶連結,並分配一個眾所周知的密碼,在 RODC-only 站點上的伺服器上安裝獨立 MSA 時需要傳遞該密碼,沒有訪問可寫 DC。”

https://docs.microsoft.com/en-us/powershell/module/activedirectory/install-adserviceaccount?view=winserver2012-ps#parameters

引用自:https://serverfault.com/questions/1028724