我有一个运行.Net应用程序的IIS应用程序作为gMSA,需要使用Windows身份验证对远程.Net Web API执行操作。 gMSA也是一个特殊组的成员,应该允许用户对API执行操作(我的Windows帐户也是该组的成员)。当应用程序联系API时,它会正确地作为gMSA帐户进行身份验证,但会被403 Forbidden拒绝。我调试了API代码并让API为gMSA用户分配了组,但是对于应该允许该操作的组没有groupid声明。如果我自己连接到API,我会看到组显示的sid是groupid声明,我可以执行操作。
如何检查gMSA帐户的群组成员资格?