組託管服務帳戶 (GMSA) 和只讀域控制器 (RODC)

我們在 DMZ 站點中有 RODC，我們想使用 GMSA，但問題是由於域控制器是只讀的，似乎我必須在創建新帳戶時設置密碼，例如：

New-ADServiceAccount -name STEST01_gmsa -DNSHostName STEST01_gmsa.mydomain.local -AccountPassword (ConvertTo-SecureString -AsPlainText "MyPassword" -Force) -Enabled $true -PrincipalsAllowedToRetrieveManagedPassword MyGROUP_TEST01_GMSA

問題是我已經有很多不同的方法，但都沒有奏效。最後一條命令返回以下錯誤：

New-ADServiceAccount ：無法使用指定的命名參數解析參數集。在行：1 字元：1

• 新 ADServiceAccount -name STEST01_gmsa -PrincipalsAllowedToRetrieveM …

• + CategoryInfo          : InvalidArgument: (:) [New-ADServiceAccount], ParameterBindingException
  + FullyQualifiedErrorId : 
  

模糊參數集，Microsoft.ActiveDirectory.Management.Commands.NewADServiceAccount

請幫助弄清楚這裡缺少什麼。

對於 gMSA，“AccountPassword”屬性將被忽略，它可用於標準 MSA，例如您描述的對域控制器沒有可寫訪問權限的情況。

引用 Microsoft 文件：“在這種情況下，您應該創建獨立 MSA，將其與適當的電腦帳戶連結，並分配一個眾所周知的密碼，在 RODC-only 站點上的伺服器上安裝獨立 MSA 時需要傳遞該密碼，沒有訪問可寫 DC。”

https://docs.microsoft.com/en-us/powershell/module/activedirectory/install-adserviceaccount?view=winserver2012-ps#parameters

引用自：https://serverfault.com/questions/1028724