===== Удаление учётных записей MSA и gMSA =====

{{:microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-144317.png }} Жизненный цикл использования учётных записей **Managed Service Account** (**MSA**) и **Group Managed Service Account** (**gMSA**) заканчивается их удалением, выполнять которое нужно придерживаясь некоторой последовательности. 

\\
==== Шаг 1. Удаление MSA/gMSA с конечного сервера ====

Удалить учётную запись MSA/gMSA непосредственно с серверов, где она ранее была установлена командлетом **Install-ADServiceAccount**, можно с помощью обратного командлета **Uninstall-ADServiceAccount**:

<code powershell>Uninstall-ADServiceAccount myMSA1</code>

До и после удаления с помощью **Test-ADServiceAccount** убеждаемся в успешном результате выполненной деинсталляции сервисной учётной записи.
 
{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181101-114623.png }}

После этого в свойствах учётной записи сервера в Active Directory убедимся в том, что в атрибуте **msDS-HostServiceAccount** ссылка на учётную запись MSA удалилась (это не применимо к учётным записям gMSA).

{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181101-114643.png }}

Если по какой-то причине ссылка на MSA не удалилась, то можно попробовать откорректировать этот атрибут в ручную или выполнить командлет **Remove-ADComputerServiceAccount**:

<code powershell>Remove-ADComputerServiceAccount -Identity <имя сервера> -ServiceAccount <имя MSA></code>

Этот же командлет может оказаться полезен в случае, если физического доступа к серверу уже нет и на нём невозможно выполнить командле **Uninstall-ADServiceAccount**, но при этом использование учётной записи MSA планируется на другом сервере.

{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181101-114704.png }}

\\
==== Шаг 2. Удаление MSA/gMSA из Active Directory ====

Окончательное удаление учётной записи MSA/gMSA можно выполнить через графические инструменты, типа консоли A**ctive Directory Users and Computers** (**ADUC**), или через **PowerShell**:

<code powershell>Remove-ADServiceAccount -Identity myMSA1</code>

{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181101-114742.png }}

После этого объект типа MSA/gMSA может считаться полностью удалённым.


----
Проверено на следующих конфигурациях:
^ Версия ОС ^ 
| Windows Server 2012 R2 Standard EN (6.3.9600) | 

----
{{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 30.10.2018 17:23

{{tag>Microsoft "Windows Server" "Windows Server 2012 R2" ADDS "Active Directory" MSA gMSA "Managed Service Account" "Group Managed Service Account" PowereShell}}

~~DISCUSSION~~