gMSA 设定无密码的工作排程 (上 )

Group Managed ServiceAccounts (gMSA) 用途

AD网域的环境下，要做跨Server的工作排程，通常为了管理方便会建立一个domain user然後拿来做排程使用者，或者启动Service的帐号，问题是这个帐号通常权限都不小。设定工作排程後最大的问题是往馆几乎就很难改密码，因为要改密码每一台Server上面的排程就要重新打一次。
如果管的Server够多，这就会变成资安的大漏洞。 个人拿gMSA来解决这个问题，因为她的密码是动态产生的。
参考以下

1. https://docs.microsoft.com/zh-tw/windows-server/security/group-managed-service-accounts/getting-started-with-group-managed-service-accounts
2. https://serverfault.com/questions/503823/set-dns-host-name-for-managed-service-account

(AD 控制站)Windows 2012 AD环境以上的Powershell下这行命令

Add-KdsRootKey –EffectiveImmediately
同步要等10小时

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
改用这个会马上生效

建立帐号
New-ADServiceAccount "gMSAShareU" -DNSHostName "web.MARVEL.local" -PrincipalsAllowedToRetrieveManagedPassword "gMSAGroup"
gMSAShareU 是帐号， gMSAGroup 是可以用这个帐号的群组

建立成功画面不会有回应，可以在UI上面查

确认一下帐号没问题
Get-ADServiceAccount -Identity gMSAShareU -Properties PrincipalsAllowedToRetrieveManagedPassword

(工作站端)把帐号导入到要使用的Host (powershell)

下这行指令前，要先确定这台电脑有在gMSAGroup里面，如果刚加入群组要记得重开机。

Install-ADServiceAccount -Identity
这样就可以了

到这边应该就差不多完成一半了，不过後面上排程的时候还有一点眉角，下篇後续。