Пример создания учетной записи gMSA

Создание gMSA (в примере создается УЗ с именем M001-gMSA_Name):

New-ADServiceAccount M0001-gMSA_Name -DNSHostName M0001-gMSA_Name@MyDomain.local -PrincipalsAllowedToRetrieveManagedPassword “G0001MSA-Группа доступа” -ManagedPasswordIntervalInDays 30 -KerberosEncryptionType AES256 -Path “OU=gMSA,OU=Сервисные учётные записи,OU=Служебные,OU=XXX,OU=My Domain,DC=mydomain,DC=local”

где XXX – OU предприятия

В качестве –PrincipalsAllowedToRetrieveManagedPassword
рекомендуется указывать группу безопасности, в которую входят серверы, где планируется использоваться gMSA. Вместо группы может указываться объект компьютера (сервер) в формате DistinguishedName. Несколько серверов в параметре PrincipalsAllowedToRetrieveManagedPassword указывается через запятую.

Параметр RestrictToSingleComputer для создания MSA не использовать

 Установка gMSA на сервер (выполняется непосредственно на сервере):

Install-ADServiceAccount -Identity M001-gMSA_Name

Для выполнения операции требуется наличие модуля “Active Directory для Windows PowerShell”, при отсутствии необходимо установить

Install-WindowsFeature -Name “RSAT-AD-PowerShell”

+ There are no comments

Add yours