Soru Grup Yönetilen Hizmet Hesaplarına (gMSA) başvurmak için uzun adları nasıl kullanırım?


Yaygın olarak etki alanı kullanıcı hesapları hizmet hesapları olarak kullanılır. Etki alanı kullanıcı hesaplarıyla, kullanıcı adı, hesabına başvurmak için Kullanıcı Asıl Adı (UPN) kullanıldığı sürece, 64 karakter kadar uzun olabilir. longusername@mydomainfqdn.domainsuffix. Eski Windows 2000 öncesi adlarını (SAM) kullanıyorsanız, bunu ~ 20 karaktere kesmeniz gerekir. mydomain\truncname.

Kullanırken New-ADServiceAccount Yeni bir Grup Yönetilen Hizmet Hesabı (gMSA) oluşturmak için PowerShell cmdlet'i ve 15 karakterden uzun bir ad belirtilir, bir hata döndürülür. Daha uzun bir isim belirtmek için SAM adı ayrıca belirtilmelidir, örn .:

New-ADServiceAccount -Name longname -SamAccountName truncname ...

Yeni gMSA olarak çalışacak bir hizmeti yapılandırmak için eski kullanıcı adı biçimini kullanabilirim mydomain\truncname$ ancak 2013 yılında en fazla 15 karaktere sahip kullanıcı adları kullanmak bir koku.

Bunun yerine UPN tarzı formatı kullanarak bir gMSA'ya nasıl başvurabilirim?

Denedim longname$@domainfqdn yaklaşım ama bu işe yaramadı. Ayrıca, AD'deki gMSA nesnesinin belirtilen bir userPrincipalName özniteliği değeri yok gibi görünüyor.


5
2018-06-20 01:14


Menşei




Cevaplar:


Yaygın olarak etki alanı kullanıcı hesapları hizmet hesapları olarak kullanılır.

Evet ve hayır. Alan adı kullanıcı hesapları genellikle hizmet olarak kullanılır oturum açma hesapları. Bu kullanıcı hesaplarının özel kullanımı aslında bir Yönetilen Hizmet Hesabı.


Her neyse, Yönetilen Hizmet Hesabı nesne sınıfı Aslında bir userPrincipalName var, ancak yeni bir yönetilen hizmet hesabı oluşturduğunuzda varsayılan olarak doldurulur gibi görünmüyor.

New-ADServiceAccount cmdlet adlı bir parametre kabul eder OtherAttributes LDAP Görünen Adı ile hesap özelliklerini ayarlamanıza olanak tanır:

New-ADServiceAccount -Name longName -sAMAccountName truncname -OtherAttributes @{'userPrincipalName'="longname@my.upn.suffix.com"}

3
2018-06-25 08:10



UserPrincipalName özniteliğinin eklenmesi Services ile birlikte çalışır ancak maalesef IIS Application Pools ile çalışmamaktadır. Bununla birlikte, bunun bir IIS sınırlaması olduğunu tahmin ediyorum. - Jason Stangroome
Bir uygulama havuzu kimliği asla bir AD UPN olamaz - bu bir yerel hesap türüdür - Mathias R. Jessen