将 gMSA 与 PsExec 一起使用

Posted

技术标签:

【中文标题】将 gMSA 与 PsExec 一起使用【英文标题】:Using gMSA along with PsExec 【发布时间】:2018-04-04 07:40:17 【问题描述】:

我正在使用 PsExec 启动一个可执行文件,传递给 PsExec 的用户名对应于一个 gMSA 帐户。

    使用 PsExec 启动的可执行文件在 AD 域控制器中自动轮换时能否更新密码?我知道密码将在客户端自动更新 Windows 服务,想检查这是否与使用 PsExec 启动的可执行文件相同。 如何验证客户端可执行文件在域控制器中更改密码时是否已刷新密码?我可以查看任何日志吗?我知道我可以在服务器中检查 PasswordLastSet,但想验证使用 gMSA 帐户的客户端是否获得了新密码。

【问题讨论】:

【参考方案1】:

GetServiceAccountPassword 函数的文档对此有更多背景。

但简而言之,您不必担心任何密码业务。

引用以上链接:

如果不是获取密码的时间,操作系统首先会尝试从本地缓存中检索密码。如果是获取密码的时间,则操作系统联系域控制器,否则,返回任何状态值为成功的缓存密码。

所以基于这些

1) 是的,但它不是直接获取密码,而是通过调用 SSPI 在后台发生

2) 无需担心这一点。都是在 LSASS 层实现的。

【讨论】:

以上是关于将 gMSA 与 PsExec 一起使用的主要内容,如果未能解决你的问题,请参考以下文章

如何使用本地计算机帐户作为 PSExec 的凭据

在 Windows 容器中使用 gMSA

我们可以在 Delphi 中模拟 gMSA 帐户吗?

使用PSExec与本地管理员提示访问被拒绝

PSEXEC...DTEXEC 错误 128

如何使用 PsExec 执行远程命令