Pregunta ¿Cómo uso los nombres largos para referirme a las cuentas de servicio administradas de grupo (gMSA)?


Comúnmente, las cuentas de usuario de dominio se utilizan como cuentas de servicio. Con las cuentas de usuario de dominio, el nombre de usuario puede tener fácilmente 64 caracteres siempre que se utilice el Nombre principal del usuario (UPN) para referirse a la cuenta, por ejemplo, longusername@mydomainfqdn.domainsuffix. Si aún usa los nombres anteriores a Windows 2000 (SAM) heredados, tiene que truncarlo a ~ 20 caracteres, por ejemplo mydomain\truncname.

Al usar el New-ADServiceAccount El cmdlet de PowerShell para crear una nueva cuenta de servicio administrada de grupo (gMSA) y se especifica un nombre de más de 15 caracteres, se devuelve un error. Para especificar un nombre más largo, el nombre de SAM se debe especificar por separado, por ejemplo:

New-ADServiceAccount -Name longname -SamAccountName truncname ...

Para configurar un servicio que se ejecute como el nuevo gMSA, puedo usar el formato de nombre de usuario heredado mydomain\truncname$ pero usar nombres de usuario con un máximo de 15 caracteres en 2013 es un olor.

¿Cómo me refiero a un gMSA utilizando el formato de estilo UPN en su lugar?

Probé el longname$@domainfqdn Enfoque pero eso no funcionó. También parece que el objeto gMSA en AD no tiene un valor de atributo userPrincipalName especificado.


5
2018-06-20 01:14


origen




Respuestas:


Comúnmente, las cuentas de usuario de dominio se utilizan como cuentas de servicio.

Si y no. Las cuentas de usuario de dominio se utilizan comúnmente como servicio cuentas de inicio de sesión. Este uso específico de las cuentas de usuario no es realmente el mismo que un Cuenta de servicio gestionado.


De todos modos, el Clase de objeto de cuenta de servicio gestionado de hecho, tiene un nombre de usuario principal, pero parece que no se llena de forma predeterminada cuando crea una nueva cuenta de servicio administrado.

los New-ADServiceAccount cmdlet acepta un parámetro llamado OtherAttributes que le permite establecer los atributos de la cuenta por nombre de visualización LDAP:

New-ADServiceAccount -Name longName -sAMAccountName truncname -OtherAttributes @{'userPrincipalName'="longname@my.upn.suffix.com"}

3
2018-06-25 08:10



La adición del atributo userPrincipalName funciona con los Servicios, pero desafortunadamente no parece funcionar con los Grupos de aplicaciones de IIS. Aunque, espero que esto sea una limitación de IIS. - Jason Stangroome
Una identidad de grupo de aplicaciones nunca puede ser un AD UPN, es un tipo de cuenta local - Mathias R. Jessen