Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта


microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:how-to-change-the-list-of-allowed-servers-for-gmsa-account

Изменение разрешённых серверов для gMSA

Если через некоторое время после эксплуатации учётной записи Group Managed Service Account (gMSA) потребуется изменить состав серверов, на которых эта запись может использоваться, например, добавить право получать пароль учётной записи gMSA дополнительному новому серверу в кластере, то можно изменить свойства учётной записи gMSA с помощью PowerShell.

Пример обновления перечня разрешённых серверов для отдельно взятой учётной записи gMSA:

$server1 = Get-ADComputer <имя сервера 1>
$server2 = Get-ADComputer <имя сервера 2>
Set-ADServiceAccount -Identity myGMSA1 `
-PrincipalsAllowedToRetrieveManagedPassword $server1, $server2

Чтобы проверить установленную в Active Directory привязку компьютеров к учётной записи gMSA выполним команду вида:

Get-ADServiceAccount -Identity myGMSA1 `
 -Properties PrincipalsAllowedToRetrieveManagedPassword `
 | Select Name,ObjectClass,PrincipalsAllowedToRetrieveManagedPassword `
 | Format-List

При изменении привязки серверов не забываем удалять использование gMSA на серверах, от которых gMSA отвязывается. Делается это с помощью командлета Uninstall-ADServiceAccount.


Проверено на следующих конфигурациях:

Версия ОС
Windows Server 2012 R2 Standard EN (6.3.9600)

Автор первичной редакции:
Алексей Максимов
Время публикации: 30.10.2018 17:23

Обсуждение

Ваш комментарий:
 

microsoft-windows/windows-server-2012-r2/adds/how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa/how-to-change-the-list-of-allowed-servers-for-gmsa-account.txt · Последние изменения: 31.10.2018 17:49 — Алексей Максимов