Пошаговые руководства, шпаргалки, полезные ссылки...
БлогФорумАвторы
Полезные Online-сервисы
Перечень Бесплатного ПО
Подписка на RSS-канал
Если через некоторое время после эксплуатации учётной записи Group Managed Service Account (gMSA) потребуется изменить состав серверов, на которых эта запись может использоваться, например, добавить право получать пароль учётной записи gMSA дополнительному новому серверу в кластере, то можно изменить свойства учётной записи gMSA с помощью PowerShell.
Пример обновления перечня разрешённых серверов для отдельно взятой учётной записи gMSA:
$server1 = Get-ADComputer <имя сервера 1> $server2 = Get-ADComputer <имя сервера 2> Set-ADServiceAccount -Identity myGMSA1 ` -PrincipalsAllowedToRetrieveManagedPassword $server1, $server2
Чтобы проверить установленную в Active Directory привязку компьютеров к учётной записи gMSA выполним команду вида:
Get-ADServiceAccount -Identity myGMSA1 ` -Properties PrincipalsAllowedToRetrieveManagedPassword ` | Select Name,ObjectClass,PrincipalsAllowedToRetrieveManagedPassword ` | Format-List
При изменении привязки серверов не забываем удалять использование gMSA на серверах, от которых gMSA отвязывается. Делается это с помощью командлета Uninstall-ADServiceAccount.
Проверено на следующих конфигурациях:
Автор первичной редакции: Алексей Максимов Время публикации: 30.10.2018 17:23