1

gMSA 帐户可以跨两个受信任的域使用吗?假设有一个具有 gMSA 帐户的 DomainA,以及允许检索 gMSA 帐户密码的安全组。并且有一个属于 DomainB 的服务器,它是 DomainA\SecurityGroup 的一部分。

运行 Install-ADServiceAccount 时,我得到:

Install-ADServiceAccount :无法安装服务帐户。错误消息:“发生了未指定的错误”。

我可以通过指定 -Server 参数使用 Get-ADServiceAccount 从 DomainA 检索帐户。然后将其通过管道传输到 Install-ADServiceAccount 并获得上述错误。

将帐户传输到 Test-ADServiceAccount 时,我得到以下信息:

Test-ADServiceAccount :对象引用未设置为对象的实例。

4

2 回答 2

0

不,至少我没有找到。我认为 API 中有一些东西使它只向自己域的 DC 发送密码请求。

于 2020-02-21T13:24:30.410 回答
0

我在域信任中使用了 gMSA 帐户。gMSA 主体需要是同一域中的组,但只要该组的类型为 Domain Local,您就可以将其他域中的计算机添加为该组的成员,然后他们就能够成功检索密码。

于 2020-12-01T20:28:10.280 回答