===== Изменение разрешённых серверов для gMSA =====
{{:microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-145902.png }} Если через некоторое время после эксплуатации учётной записи **Group Managed Service Account** (**gMSA**) потребуется изменить состав серверов, на которых эта запись может использоваться, например, добавить право получать пароль учётной записи gMSA дополнительному новому серверу в кластере, то можно изменить свойства учётной записи gMSA с помощью **PowerShell**.
Пример обновления перечня разрешённых серверов для отдельно взятой учётной записи gMSA:
$server1 = Get-ADComputer <имя сервера 1>
$server2 = Get-ADComputer <имя сервера 2>
Set-ADServiceAccount -Identity myGMSA1 `
-PrincipalsAllowedToRetrieveManagedPassword $server1, $server2
Чтобы проверить установленную в Active Directory привязку компьютеров к учётной записи gMSA выполним команду вида:
Get-ADServiceAccount -Identity myGMSA1 `
-Properties PrincipalsAllowedToRetrieveManagedPassword `
| Select Name,ObjectClass,PrincipalsAllowedToRetrieveManagedPassword `
| Format-List
{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-174138.png }}
При изменении привязки серверов не забываем удалять использование gMSA на серверах, от которых gMSA отвязывается. Делается это с помощью командлета **Uninstall-ADServiceAccount**.
----
Проверено на следующих конфигурациях:
^ Версия ОС ^
| Windows Server 2012 R2 Standard EN (6.3.9600) |
----
{{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 30.10.2018 17:23
{{tag>Microsoft "Windows Server" "Windows Server 2012 R2" ADDS "Active Directory" MSA gMSA "Managed Service Account" "Group Managed Service Account"}}
~~DISCUSSION~~