Если через некоторое время после эксплуатации учётной записи Group Managed Service Account (gMSA) потребуется изменить состав серверов, на которых эта запись может использоваться, например, добавить право получать пароль учётной записи gMSA дополнительному новому серверу в кластере, то можно изменить свойства учётной записи gMSA с помощью PowerShell.

Пример обновления перечня разрешённых серверов для отдельно взятой учётной записи gMSA:

$server1 = Get-ADComputer <имя сервера 1>
$server2 = Get-ADComputer <имя сервера 2>
Set-ADServiceAccount -Identity myGMSA1 `
-PrincipalsAllowedToRetrieveManagedPassword $server1, $server2

Чтобы проверить установленную в Active Directory привязку компьютеров к учётной записи gMSA выполним команду вида:

Get-ADServiceAccount -Identity myGMSA1 `
 -Properties PrincipalsAllowedToRetrieveManagedPassword `
 | Select Name,ObjectClass,PrincipalsAllowedToRetrieveManagedPassword `
 | Format-List

При изменении привязки серверов не забываем удалять использование gMSA на серверах, от которых gMSA отвязывается. Делается это с помощью командлета Uninstall-ADServiceAccount.

---

Проверено на следующих конфигурациях:

---

Автор первичной редакции:
Алексей Максимов
Время публикации: 30.10.2018 17:23