标签: managed-service-accounts

我刚刚授予了某些资源的 MSA（托管服务帐户）权限。

我可以通过使用cmd.exeMSA 帐户的凭据运行进程并检查我是否具有适当的权限来验证它是否有效吗？

我必须为一个将运行 IIS 和 MSMQ 的项目安装几个新的应用程序服务器 (2012R2)。我需要编写完整安装的脚本，因此我需要能够更改 IIS 应用程序池的权限。我计划为此使用 MSA，因为我不必在部署脚本中处理密码。

我的问题是“部署解决方案代理”在机器上作为本地系统运行，它无权更新 AD 中的所需设置以在本地机器上“安装”MSA。

有没有人让这个工作？我假设我可以委派特定计算机帐户的权限，但这也可能会变得混乱。

在Microsoft Key Distribution Service没有启动我的DC（kdssvc.dll），当我看到在Microsoft \ Kdssvc事件日志中，我看到的事件：

事件 ID 4001 组密钥分发服务无法启动。状态 0x80070020。

事件 ID 4007
组密钥分发服务无法连接到本地主机上的域控制器。状态 0x80070020。由于错误，无法启动组密钥分发服务。请联系管理员解决问题。

错误 0x80070020 表示某种类型的文件锁定。

有谁知道我该如何解决这个错误？在网上对此进行的故障排除有点稀少，并且与 KDC 混淆。

澄清一下：这个问题与 Kerberos 无关，而是关于在企业环境中处理组托管服务帐户 (gMSA)、Bitlocker 和 Windows 激活服务的服务帐户。

更新这里是procmon

我们有一个托管服务帐户在 Windows 2012 R2 服务上运行服务。该服务每 30 或 60 天（有时是 30 天，有时是 60 天）失败一次。

我们的一个想法是托管服务帐户密码更改可能会导致问题。从文档中我们可以看到密码每 30 天重置一次。

有没有办法查看上次为托管服务帐户重置密码的时间，以便我们可以查看它是否与我们遇到的错误相关？

托管服务帐户是否需要域？

我正在尝试设置一个独立服务器（无域）来添加托管服务帐户以分配给正在运行的服务，而不是创建本地用户帐户。

我更喜欢使用 Powershell cmdlet 来自动执行此任务，但我也可以使用 cmd 工具等。

目标是使用标准（普通计算机有 AD，因此我们有 AD 管理的 MSA）进程运行内部服务，但不需要用于演示目的的域。

这可能吗？

或者，如果有类似的无密码方法来执行此操作，我也将不胜感激。

我有一项服务在需要 Internet 访问的 Windows 2012 R2 域成员服务器上运行。该服务配置为在托管服务帐户下运行，并且该帐户被授予域成员的本地管理员权限。组策略首选项用于为所有用户配置 Web 代理设置，相关组策略在域顶级链接。

托管服务帐户存在于顶级此类帐户的默认容器中，但是似乎没有将这些设置应用于 HKEY_USERS 下的注册表配置单元，并且手动将设置添加到相关配置单元似乎没有任何效果任何一个。如何以与任何其他普通域帐户相同的方式将代理设置应用于托管服务帐户？

我继承了几个 AWS 环境。我最近一直在对 s3 进行安全审计，发现一些策略的主体包含我不知道的 aws 帐号，我公司中也没有人熟悉它们。所以我想基本上对相关帐户的所有者进行反向查找。我想确定这些政策是否仍然有效或可以删除​​。