Создание gMSA (в примере создается УЗ с именем M001-gMSA_Name):
New-ADServiceAccount M0001-gMSA_Name -DNSHostName M0001-gMSA_Name@MyDomain.local -PrincipalsAllowedToRetrieveManagedPassword “G0001MSA-Группа доступа” -ManagedPasswordIntervalInDays 30 -KerberosEncryptionType AES256 -Path “OU=gMSA,OU=Сервисные учётные записи,OU=Служебные,OU=XXX,OU=My Domain,DC=mydomain,DC=local”
где XXX – OU предприятия
В качестве –PrincipalsAllowedToRetrieveManagedPassword
рекомендуется указывать группу безопасности, в которую входят серверы, где планируется использоваться gMSA. Вместо группы может указываться объект компьютера (сервер) в формате DistinguishedName. Несколько серверов в параметре PrincipalsAllowedToRetrieveManagedPassword указывается через запятую.
Параметр RestrictToSingleComputer для создания MSA не использовать
Установка gMSA на сервер (выполняется непосредственно на сервере):
Install-ADServiceAccount -Identity M001-gMSA_Name
Для выполнения операции требуется наличие модуля “Active Directory для Windows PowerShell”, при отсутствии необходимо установить
Install-WindowsFeature -Name “RSAT-AD-PowerShell”
+ There are no comments
Add yours