问题标签 [gmsa]

我有一个计划任务作为具有最高权限的 GMSA 帐户运行。该任务启动一个 cmd 文件，该文件又调用两个 exe。一个 exe 在具有计划任务的服务器上。另一个 exe 在远程网络共享上。GMSA 拥有远程目录的修改权限。

第一个exe运行良好。第二个 exe 立即在任务管理器中显示为挂起并死亡。cmd 文件返回错误级别 -532462766。但是，我找不到有关此错误代码的信息。

如果计划任务使用传统的 Windows 服务帐户运行，则会运行到完成。

这是对 GMSA 的限制吗？

谢谢。

我运行一项将各种格式转换/呈现为其他格式的服务（例如 Outlook 到 tiff 或 word 到 pdf 等）。

为使其与 Outlook 消息一起使用，必须将 Outlook 配置为在运行该服务的帐户下具有配置文件。（使用该帐户登录，打开 Outlook 一次，接受默认设置并完成所有设置。）由于密码等问题，我的组织不允许使用此类服务​​帐户，因此我们使用 gMSA。

问题是无法使用 gMSA 登录，因此未设置 Outlook 配置文件并且转换失败

如何在不登录系统的情况下以某种方式为 gMSA 帐户创建 Outlook 配置文件？

谢谢

我需要使用 gMSA 帐户获取 VM 详细信息

我使用 gMSA 来安排脚本，但不知道如何在这里使用它。

请如果有人可以帮助我

我成功地拥有了一个使用 gMSA 和 Windows 身份验证以及 I​​IS .Net Framework Web 应用程序的 Windows 2019 容器。我可以从外部访问 Web 应用程序并完美地使用我的 Windows 域凭据进行身份验证。

我们使用 FitNesse 框架创建的测试需要将近 2 小时才能完成。开发人员将测试分为 2 组，并在一半时间内执行测试。决定尝试在多个容器中运行这些测试，以尝试以较小的块运行测试并并行执行，以降低运行时间。

现在出现了我的问题：FitNesse 需要在 Windows 域凭据下启动该进程，以便它可以通过 Web 应用程序的身份验证。通常这不会有问题，但我需要在Windows 容器中执行它。

尝试 1：使用常规域帐户

尝试 2：不使用凭据

在容器中，我确实安装了 Java、Chrome 和 VSTest 控制台。我知道我即将解决这个问题，但这是一个新的挑战。

进行了各种搜索，我相信我一切正常，但仍然无法正常工作。

我已经安装了 gMSA 并在运行 Test-ADServiceAccount 时得到了正确的结果。我已将该帐户添加到本地安全策略中的“作为批处理作业登录”。（是的，我做了 IIS 重置）

我尝试将 gMSA 作为域/帐户和简单帐户放入，但我仍然收到无效身份错误。（编号 5021 和 5057）

是否有任何其他权利或我可能错过的其他任何事情？

我读过一些文章，这些文章提到将某些东西放入 docker 文件中。对 IIS 有点陌生，我不确定它在哪里，更不用说确切地输入什么，或者这是否真的可以解决我的问题。大多数文件引用都指向 C:/ProgramData，但我没有这样的文件夹。

我有一个与 gMSA CredentialSpec 一起启动的现有 Windows 容器，其托管的 IIS Web 应用程序可以完美地处理 Windows 身份验证。正在运行的容器正在与域控制器完美通信。我想使用不同的域帐户启动会话或 powershell 进程以运行进程。我只能以用户 "ContainerAdministrator" 或 "ContainerUser" 身份运行进程，但不能以域用户 (MyDomain\Richard) 身份运行进程。当我创建一个 Credential 对象并将其传递给参数的Start-Processcmdlet 时，-Credential我收到此错误消息。

任何人都可以帮助我使用域帐户运行会话或处理线程吗？

我有一个 Windows 2019 容器，该容器使用来自有效工作 gMSA 帐户的有效 CredentialSpec 启动。它目前在 IIS 上托管一个 .NET 4.x 应用程序，Windows 身份验证工作得很好。我还可以nltest成功执行命令并与域控制器通信。

我想以域用户 (MyDomain\UserABC) 的身份运行作业或进程。我所有的尝试都失败了：

1. start-process使用凭证对象执行错误：

2. 使用计划作业NT AUTHORITY\NetworkService无法访问 Web，因为它没有使用 gMSA 凭据，而是使用网络服务凭据。

3. 使用域用户创建计划作业会导致与上述相同的错误：

还有其他想法吗？

我打算设置一个 Windows 故障转移群集。在每个节点上，我将安装一个作为 Windows 服务运行的应用程序。出于安全原因，我计划在 Group Managed Service Account (GMSA) 下运行此服务。该应用程序的文档说明如下：

• 将用户添加到“本地安全策略”中的“作为服务登录”策略。
• 编辑 ... 服务以使用用户登录。

到目前为止没有任何问题。但是，在有关 GMSA 的 Microsoft文档页面上，我看到以下内容：

故障转移集群不支持 gMSA。但是，在集群服务之上运行的服务可以使用 gMSA 或 sMSA，前提是它们是 Windows 服务、应用程序池、计划任务或本机支持 gMSA 或 sMSA。

在我的情况下我应该如何阅读这个？是否可以在 GMSA 下运行该服务？

从组托管​​服务帐户开始时，我面临 PostgreSQL 数据库启动失败。PostgreSQL 日志中没有错误。PostgreSQL 文件夹拥有 gMSA 的完全控制权限。PostgreSQL 没有作为服务安装。有没有办法解决这个问题？

我在一个容器中有一个 PowerShell 脚本，用于查询我们的内部 CA 是否存在证书。我在这里按照Microsoft 的建议创建了 gMSA 帐户， 然后使用 docker run --security-opt "credentialspec=file://gmsa_CredSpec.json" --restart=always --hostname HOSTNAME -d --name webapp1 webapp:latest其中 HOSTNAME 是托管 docker 引擎的寡妇服务器的实际主机名运行 docker。

我的挑战是试图理解为什么我会ERROR_NO_SUCH_LOGON_SESSION像 $result = Get-Certificate -Template ServiceTemplate -Url ldap: -CertStoreLocation Cert:\localmachine\My -SubjectName "CN=${name}" -verbose ;下面的脚本一样继续这样做。

完整的错误

我将不胜感激，因为我所有的研究总是会导致同样的错误