Создание gMSA (в примере создается УЗ с именем M001-gMSA_Name):
New-ADServiceAccount M0001-gMSA_Name -DNSHostName M0001-gMSA_Name@MyDomain.local -PrincipalsAllowedToRetrieveManagedPassword «G0001MSA-Группа доступа» -ManagedPasswordIntervalInDays 30 -KerberosEncryptionType AES256 -Path «OU=gMSA,OU=Сервисные учётные записи,OU=Служебные,OU=XXX,OU=My Domain,DC=mydomain,DC=local»
где XXX — OU предприятия
В качестве —PrincipalsAllowedToRetrieveManagedPassword
рекомендуется указывать группу безопасности, в которую входят серверы, где планируется использоваться gMSA. Вместо группы может указываться объект компьютера (сервер) в формате DistinguishedName. Несколько серверов в параметре PrincipalsAllowedToRetrieveManagedPassword указывается через запятую.
Параметр RestrictToSingleComputer для создания MSA не использовать
Установка gMSA на сервер (выполняется непосредственно на сервере):
Install-ADServiceAccount -Identity M001-gMSA_Name
Для выполнения операции требуется наличие модуля «Active Directory для Windows PowerShell», при отсутствии необходимо установить
Install-WindowsFeature -Name «RSAT-AD-PowerShell»
+ There are no comments
Add yours