Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта


microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:how-to-verify-process-or-task-execution-on-behalf-of-an-msa-gmsa-account

Как проверить выполнение задачи/процесса от имени учётной записи MSA/gMSA на Windows

При планировании разного рода задач и процессов, выполняемых от имени сервисных учётных записей MSA и gMSA желательно выполнять тестовый запуск в контексте такой учётной записи. Например, нам может потребоваться протестировать запуск какого-то скрипта, который в дальнейшем планируется включить в задании планировщика Windows.

Пароль сервисной учётной записи MSA/gMSA нам неизвестен, так как он обслуживается в автоматическом режиме контроллерами домена Active Directory. Поэтому проверить работу скрипта от имени сервисной учётной записи стандартным способом «запуск от имени» (Run-As) у нас не получится. Воспользуемся для этой задачи утилитой PsExec из набора Windows Sysinternals.

Если запуск этой утилиты PsExec заблокирован администратором домена, можем воспользоваться ранее описанным методом, чтобы обойти такое ограничение.

Открываем командную строку с правами Администратора и выполняем вызов утилиты PsExec с параметрами, которые позволят интерактивно запустить отдельный экземпляр cmd.exe от имени учётной записи MSA/gMSA. Обратите внимание на то, что в качестве пароля здесь мы указываем знак тильды «~»:

PsExec64.exe -i -u DOMAIN\gMSAAccount$ -p ~ cmd.exe

При выполнении этой команды откроется отдельное интерактивное окно интерпретатора командной строки cmd.exe. C помощью команды whoami проверяем то, что мы действительно находимся в контексте интересующей нас учётной записи.

Обратите внимание на то, что пока работает приложение, запущенное через PsExec, не стоит закрывать родительское окно командной строки, из которого был вызван PsExec. Так как на время сессии PsExec в системе регистрируется специальная служба PSEXESVC, и если некорректно завершить работу PsExec, эта служба не будет удалена из системы. Служба PSEXESVC удаляется автоматически только при штатном завершении сессии PsExec.

Находясь в окружении пользователя MSA/gMSA, мы можем протестировать запуск и выполнение интересующих нас скриптов и приложений.


Проверено на следующих конфигурациях:

Версия ОС
Windows Server 2012 R2 Standard EN (6.3.9600)

Автор первичной редакции:
Алексей Максимов
Время публикации: 06.06.2019 20:49

Обсуждение

Ваш комментарий:
 

microsoft-windows/windows-server-2012-r2/adds/how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa/how-to-verify-process-or-task-execution-on-behalf-of-an-msa-gmsa-account.txt · Последние изменения: 06.06.2019 21:30 — Алексей Максимов