问题标签 [gmsa]

我正在尝试将GMSA用于来自 AspNet 核心应用程序的 SQL 连接。所有准备步骤都已完成，但似乎不起作用。我猜原因是应用程序以“dotnet.exe myapp.dll”启动，并且没有使用 LocalSystem 或 Network 帐户，这是唯一通过 GMSA 帐户“代理”的帐户。

有没有办法在 LocalSystem 下的容器中启动应用程序，而无需借助 Windows 服务或使用 IIS？

我已经尝试使用 sysinternal 的“psexec64 -s”作为入口点，但它失败了：

我创建了一个像这样的 gMSA：

而生活似乎是美好的。但是，当我跑步时

这就是我得到的：

我检查了事件查看器 -> 应用程序和服务日志 -> Microsoft -> Windows -> 应用程序 -> Microsoft-Windows-TWinUI/Operational 但这似乎不正确。MSA 操作日志在哪里（可能是什么）？

编辑：对于整体问题，我已经尝试过Install-ADServiceAccount，但没有奏效。我放弃了，终于让它工作了（对于一个名为 Domain\sirdank$ 的 gMSA），Set-ADServiceAccount sirdank -PrincipalsAllowedToRetrieveManagedPassword "$env:computername$"我也很幸运地通过了“Domain Computers”而不是“$env:computername$”。

我有一个 IIS 应用程序将 .Net 应用程序作为 gMSA 运行，该应用程序需要使用 Windows 身份验证对远程 .Net Web API 执行操作。gMSA 也是一个特殊组的成员，该组应该允许用户对 API 执行操作（我的 Windows 帐户也是该组的成员）。当应用程序联系 API 时，它正确地作为 gMSA 帐户进行身份验证，但被 403 Forbidden 拒绝。我调试了 API 代码并让 API 为 gMSA 用户吐出组，但是对于应该允许该操作的组没有 groupid 声明。如果我以我自己的身份连接到 API，我确实将组显示的 sid 视为 groupid 声明，并且允许我执行该操作。

有关如何检查 gMSA 帐户的组成员身份的任何想法？

我想让 Microsoft SQL Server 代理作业在 GMSA 帐户下运行，但他们需要有权访问 Azure 存储帐户中的 Azure 文件容器。

到目前为止，我发现的所有内容都指向将 Azure 文件凭据存储在服务的用户帐户下的 Windows 凭据管理器中，但我不知道如何为 GMSA 帐户执行此操作。

有没有办法在 Windows 凭据管理器中存储一组凭据以供 GMSA 帐户使用，或者 GMSA 帐户是否可以通过另一种方式对 Azure 文件进行身份验证？

我试图寻找 c# 代码示例以查看 AD 服务帐户是如何创建的，但运气不佳。任何人都可以提供创建 AD 服务帐户的示例代码吗？

我已经尝试在名称末尾使用 $ 的 UserPrincipal，但运气不佳。拒绝访问的错误（无法在根 MyDomain 或 CN 下创建）

使用由gMSA启动的带有 robocopy的powershell 脚本不起作用...

我编写了一个小脚本来使用 robocopy 在 powershell 中复制 2 个目录，它可以工作。我将它与任务调度程序一起使用，使用普通帐户，它可以工作。但是用 gMSA 做同样的事情，不起作用

这是使用 gMSA 启动 Robocopy 时的日志文件：

好像$logfile只有在 gMSA 启动时才正确...

你有什么想法吗？

我的系统管理员为我制作了一个 gMSA，用于我的容器工作。我可以用它做一些简单的事情（比如测试它是否正常工作）。但我不知道如何将它用于托管等。

如何使用 gMSA 调用执行 Active Directory 集成的服务？

我的场景的细节是这样的：

• 我有一个为我托管 Chocolatey 提要的 ProGet 服务器。它设置为与 Active Directory 集成。
• 当我choco search使用自己的机器运行命令时，它工作得很好。
• 当我choco search从容器运行相同的命令时，它失败并出现错误： /li>
• 如果我运行curl MyLibrary/nuget/Chocolatey我会得到一个有效的响应，尽管页面内容说访问被拒绝。（所以我知道我可以连接，但无法进行身份验证。）
• 我已将我的 gMSA 用户添加到我的 proget Chocolatey feed

我们可以在 TFS 发布管道中使用 gMSA 帐户吗？我正在尝试将 gMSA 帐户用于“Windows 机器文件复制”任务，但由于我没有 gMSA 帐户的密码，因此我指定了一个空字符串。

但是当我运行时，我收到以下错误

[错误] 无法使用目标创建 PSDrive：'\Servername\D$\Path'，错误消息：'访问被拒绝'

gMSA 帐户可以跨两个受信任的域使用吗？假设有一个具有 gMSA 帐户的 DomainA，以及允许检索 gMSA 帐户密码的安全组。并且有一个属于 DomainB 的服务器，它是 DomainA\SecurityGroup 的一部分。

运行 Install-ADServiceAccount 时，我得到：

Install-ADServiceAccount ：无法安装服务帐户。错误消息：“发生了未指定的错误”。

我可以通过指定 -Server 参数使用 Get-ADServiceAccount 从 DomainA 检索帐户。然后将其通过管道传输到 Install-ADServiceAccount 并获得上述错误。

将帐户传输到 Test-ADServiceAccount 时，我得到以下信息：

Test-ADServiceAccount ：对象引用未设置为对象的实例。

我需要使用 gMSA 帐户从我的 delphi 应用程序连接 SQL Server。那么，我可以使用 delphi 的LogonUser()来模拟这个 gMSA 帐户吗？如果是，我需要提供什么密码作为这个 LogonUser() 的参数？

请指教。