Пошаговые руководства, шпаргалки, полезные ссылки...
БлогФорумАвторы
Полезные Online-сервисы
Перечень Бесплатного ПО
Подписка на RSS-канал
Жизненный цикл использования учётных записей Managed Service Account (MSA) и Group Managed Service Account (gMSA) заканчивается их удалением, выполнять которое нужно придерживаясь некоторой последовательности.
Удалить учётную запись MSA/gMSA непосредственно с серверов, где она ранее была установлена командлетом Install-ADServiceAccount, можно с помощью обратного командлета Uninstall-ADServiceAccount:
Uninstall-ADServiceAccount myMSA1
До и после удаления с помощью Test-ADServiceAccount убеждаемся в успешном результате выполненной деинсталляции сервисной учётной записи.
После этого в свойствах учётной записи сервера в Active Directory убедимся в том, что в атрибуте msDS-HostServiceAccount ссылка на учётную запись MSA удалилась (это не применимо к учётным записям gMSA).
Если по какой-то причине ссылка на MSA не удалилась, то можно попробовать откорректировать этот атрибут в ручную или выполнить командлет Remove-ADComputerServiceAccount:
Remove-ADComputerServiceAccount -Identity <имя сервера> -ServiceAccount <имя MSA>
Этот же командлет может оказаться полезен в случае, если физического доступа к серверу уже нет и на нём невозможно выполнить командле Uninstall-ADServiceAccount, но при этом использование учётной записи MSA планируется на другом сервере.
Окончательное удаление учётной записи MSA/gMSA можно выполнить через графические инструменты, типа консоли Active Directory Users and Computers (ADUC), или через PowerShell:
Remove-ADServiceAccount -Identity myMSA1
После этого объект типа MSA/gMSA может считаться полностью удалённым.
Проверено на следующих конфигурациях:
Автор первичной редакции: Алексей Максимов Время публикации: 30.10.2018 17:23