在没有PrincipalsAllowedToRetrieveManagedPassword的情况下为Azure AD域服务创建gMSA似乎不起作用
我有一个Azure AD域服务域,需要创建一个gMSA(组托管服务帐户)。
我将https://docs.microsoft.com/de-de/azure/active-directory-domain-services/create-gmsa中的示例与我的域名一起使用
# Create a new custom OU on the managed domain
New-ADOrganizationalUnit -Name "MyNewOU" -Path "DC=CONTOSO100,DC=COM"
# Create a service account 'WebFarmSvc' within the custom OU.
New-ADServiceAccount -Name WebFarmSvc `
-DNSHostName ` WebFarmSvc.contoso100.com `
-Path "OU=MYNEWOU,DC=CONTOSO100,DC=com" `
-KerberosEncryptionType AES128, AES256 ` -ManagedPasswordIntervalInDays 30 `
-ServicePrincipalNames http/WebFarmSvc.contoso100.com/contoso100.com, `
http/WebFarmSvc.contoso100.com/contoso100, `
http/WebFarmSvc/contoso100.com, http/WebFarmSvc/contoso100
示例代码还包括:
-PrincipalsAllowedToRetrieveManagedPassword CONTOSO-SERVER$
我不知道我必须在这里放入什么,Microsoft Doc也没有说它如何获得“ CONTOSO-SERVER $”对象。所以我忽略了它。
如果我忽略它,那么创建似乎成功了。之后,我会在Active Directoy用户和计算机的组织部门中看到我的gMSA。
但是当我测试帐户时,我得到了
因此,PrincipalsAllowedToRetrieveManagedPassword似乎很重要。如何使用Azure AD域服务使它正常工作?
1 个答案:
答案 0 :(得分:0)
我在新的组织单位中手动创建了一个组,将主机添加到其中,然后重新启动了主机。
只有然后Test-ADServiceAccount WebFarmSvc成功:
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?