Вики IT-KB

При планировании разного рода задач и процессов, выполняемых от имени сервисных учётных записей MSA и gMSA желательно выполнять тестовый запуск в контексте такой учётной записи. Например, нам может потребоваться протестировать запуск какого-то скрипта, который в дальнейшем планируется включить в задании планировщика Windows.

Пароль сервисной учётной записи MSA/gMSA нам неизвестен, так как он обслуживается в автоматическом режиме контроллерами домена Active Directory. Поэтому проверить работу скрипта от имени сервисной учётной записи стандартным способом «запуск от имени» (Run-As) у нас не получится. Воспользуемся для этой задачи утилитой PsExec из набора Windows Sysinternals.

Если запуск этой утилиты PsExec заблокирован администратором домена, можем воспользоваться ранее описанным методом, чтобы обойти такое ограничение.

Открываем командную строку с правами Администратора и выполняем вызов утилиты PsExec с параметрами, которые позволят интерактивно запустить отдельный экземпляр cmd.exe от имени учётной записи MSA/gMSA. Обратите внимание на то, что в качестве пароля здесь мы указываем знак тильды «~»:

PsExec64.exe -i -u DOMAIN\gMSAAccount$ -p ~ cmd.exe

При выполнении этой команды откроется отдельное интерактивное окно интерпретатора командной строки cmd.exe. C помощью команды whoami проверяем то, что мы действительно находимся в контексте интересующей нас учётной записи.

Находясь в окружении пользователя MSA/gMSA, мы можем протестировать запуск и выполнение интересующих нас скриптов и приложений.

Проверено на следующих конфигурациях:

Автор первичной редакции:
Алексей Максимов
Время публикации: 06.06.2019 20:49