AD网域的环境下,要做跨Server的工作排程,通常为了管理方便会建立一个domain user然後拿来做排程使用者,或者启动Service的帐号,问题是这个帐号通常权限都不小。设定工作排程後最大的问题是往馆几乎就很难改密码,因为要改密码每一台Server上面的排程就要重新打一次。
如果管的Server够多,这就会变成资安的大漏洞。 个人拿gMSA来解决这个问题,因为她的密码是动态产生的。
参考以下
Add-KdsRootKey –EffectiveImmediately
同步要等10小时
Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
改用这个会马上生效
建立帐号
New-ADServiceAccount "gMSAShareU" -DNSHostName "web.MARVEL.local" -PrincipalsAllowedToRetrieveManagedPassword "gMSAGroup"
gMSAShareU 是帐号, gMSAGroup 是可以用这个帐号的群组
建立成功画面不会有回应,可以在UI上面查
确认一下帐号没问题
Get-ADServiceAccount -Identity gMSAShareU -Properties PrincipalsAllowedToRetrieveManagedPassword
下这行指令前,要先确定这台电脑有在gMSAGroup里面,如果刚加入群组要记得重开机。
Install-ADServiceAccount -Identity
这样就可以了
到这边应该就差不多完成一半了,不过後面上排程的时候还有一点眉角,下篇後续。
<<: 2022 年您应该准备的 6 大商业风险~综合风险管理 (IRM) 已被证明可以提供稳健且结构化的风险缓解方法。
第 17 天要介绍 golang 的例外处理,那麽我们就进入正题吧 ─=≡Σ(((っ゚∀゚)っ pa...
这篇调整的方向只是把上一篇的 Html Helper 改为 Tag Helper 而已 ! Case...
昨天将恐龙转场的部分完成後,我们来将他做个收尾。 1.开启昨天的档案 2.为了後续需要延长秒数 3....
前言 安全且有系统地使用一套软件的前提,是先了解其授权机制与权限范围,知道自己的角色可以做到什麽事与...
今天我们继续学习watch os的开发。 正文 上面所展示的是按下Button之後会将下面的Text...