我有一个 IIS 应用程序将 .Net 应用程序作为 gMSA 运行,该应用程序需要使用 Windows 身份验证对远程 .Net Web API 执行操作。gMSA 也是一个特殊组的成员,该组应该允许用户对 API 执行操作(我的 Windows 帐户也是该组的成员)。当应用程序联系 API 时,它正确地作为 gMSA 帐户进行身份验证,但被 403 Forbidden 拒绝。我调试了 API 代码并让 API 为 gMSA 用户吐出组,但是对于应该允许该操作的组没有 groupid 声明。如果我以我自己的身份连接到 API,我确实将组显示的 sid 视为 groupid 声明,并且允许我执行该操作。
有关如何检查 gMSA 帐户的组成员身份的任何想法?