使用gMSA和PsExec

Question

我正在使用PsExec启动可执行文件，传递给PsExec的用户名对应于gMSA帐户。

1. 使用PsExec启动的可执行文件是否可以在AD域控制器中自动轮换时更新密码？我知道密码将在Windows服务的客户端自动更新，想要检查使用PsExec启动的可执行文件是否相同。
2. 如何验证客户端可执行文件在域控制器中更改后是否刷新了密码？我可以查看任何日志？我知道我可以在服务器中检查PasswordLastSet，但是想要验证使用gMSA帐户的客户端是否获得了新密码。

Answer 1

GetServiceAccountPassword函数的文档对此有更多了解。

但是总而言之，您不必担心任何密码业务。

从以上链接引用：

如果不是时候获取密码，则操作系统首先尝试从本地缓存中检索密码。如果是时候获取密码，则操作系统将与域控制器联系，否则，请返回状态值为成功的所有缓存密码。

因此，基于这些

1）是，但是它不是直接获取密码，而是通过调用SSPI在后台进行的

2）不必为此担心。所有这些都在LSASS层上实现。