将 gMSA 与 PsExec 一起使用

Posted 2023-02-16

【中文标题】将 gMSA 与 PsExec 一起使用

【英文标题】：Using gMSA along with PsExec

【发布时间】：2018-04-04 07:40:17

【问题描述】：

我正在使用 PsExec 启动一个可执行文件，传递给 PsExec 的用户名对应于一个 gMSA 帐户。

使用 PsExec 启动的可执行文件在 AD 域控制器中自动轮换时能否更新密码？我知道密码将在客户端自动更新 Windows 服务，想检查这是否与使用 PsExec 启动的可执行文件相同。 如何验证客户端可执行文件在域控制器中更改密码时是否已刷新密码？我可以查看任何日志吗？我知道我可以在服务器中检查 PasswordLastSet，但想验证使用 gMSA 帐户的客户端是否获得了新密码。

【参考方案1】：

GetServiceAccountPassword 函数的文档对此有更多背景。

但简而言之，您不必担心任何密码业务。

引用以上链接：

如果不是获取密码的时间，操作系统首先会尝试从本地缓存中检索密码。如果是获取密码的时间，则操作系统联系域控制器，否则，返回任何状态值为成功的缓存密码。

所以基于这些

1) 是的，但它不是直接获取密码，而是通过调用 SSPI 在后台发生

2) 无需担心这一点。都是在 LSASS 层实现的。