Ich werde aus der Webseite Getting Started with Group Managed Service Accounts nicht schlau.
Wenn ich mit NewADServiceAccount unter Verwendung des Parameters -PrincipalsAllowedToRetrieveManagedPassword einen gMSA angelegt habe, muss ich ihn dann überhaupt noch einem Host zuweisen?
Meine Tests haben ergeben, dass sofort danach Test-ADServiceAccount auf den erlaubten Computern True ausgibt.
Unter "To add member hosts using the Set-ADServiceAccount cmdlet" steht zunächst eine falsche Syntax für Get-ADServiceAccount, das Cmdlet kennt keinen Parameter -PrincipalsAllowedToRetrieveManagedPassword. Mit Set-ADServiceAccount kann ich den Parameter zwar benutzen, aber das macht meiner Meinung nach nur Sinn, wenn man ihn bei New-ADServiceAccount weggelassen hat. Ist das richtig?
Was bewirken die Cmdlets Add-ADComputerServiceAccount und Install-ADServiceAccount? Braucht man die bei gMSA überhaupt noch oder sind die nur für sMSA notwendig?
Ich habe auf zwei Servern den gMSA dem DefaultAppPool zugewiesen. Er konnte erfolgreich neu gestartet werden. Ist das der Beweis, das es funktioniert?