azure - 在没有PrincipalsAllowedToRetrieveManagedPassword的情况下为Azure AD域服务创建gMSA似乎不起作用

Question

我有一个 Azure AD 域服务域，需要创建一个 gMSA(组托管服务帐户)。

我正在使用 https://learn.microsoft.com/de-de/azure/active-directory-domain-services/create-gmsa 中的示例用我的域名:

# Create a new custom OU on the managed domain
New-ADOrganizationalUnit -Name "MyNewOU" -Path "DC=CONTOSO100,DC=COM"

# Create a service account 'WebFarmSvc' within the custom OU.
New-ADServiceAccount -Name WebFarmSvc  `
-DNSHostName ` WebFarmSvc.contoso100.com  `
-Path "OU=MYNEWOU,DC=CONTOSO100,DC=com"  `
-KerberosEncryptionType AES128, AES256  ` -ManagedPasswordIntervalInDays 30  `
-ServicePrincipalNames http/WebFarmSvc.contoso100.com/contoso100.com, `
http/WebFarmSvc.contoso100.com/contoso100,  `
http/WebFarmSvc/contoso100.com, http/WebFarmSvc/contoso100

示例代码还包括:

-PrincipalsAllowedToRetrieveManagedPassword CONTOSO-SERVER$

我不知道我必须在这里放入什么，并且 Microsoft 文档没有说明它如何获取“CONTOSO-SERVER$”对象。所以我忽略它。

如果我忽略它，创建似乎会成功。之后，我在 Active Directory 用户和计算机的组织单位中看到我的 gMSA。

但是当我测试帐户时，我得到

因此，PrincipalsAllowedToRetrieveManagedPassword 似乎很重要。如何使用 Azure AD 域服务使其正常工作？

Answer 1

我在新的组织单位中手动创建了一个组，向其中添加了主机并重新启动了我的主机。

只有这样 Test-ADServiceAccount WebFarmSvc 才成功: