Blog de Florent Appointaire

Blog sur les technologies Microsoft (Windows Server, System Center, Azure, Windows Azure Pack/Azure Stack, etc;)

Aujourd’hui, en faisant un test concernant l’utilisation de gMSA (Group Managed Service Accounts), je suis tombé sur l’erreur suivante au moment d’exécuter ma commande PowerShell Install-ADServiceAccount:

PS C:\Windows\system32> Install-ADServiceAccount "svc-webservice"
Install-ADServiceAccount : Cannot install service account. Error Message: '{Access Denied}
A process has requested access to an object, but has not been granted those access rights.'.
At line:1 char:1
+ Install-ADServiceAccount "svc-webservice"
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : WriteError: (svc-webservice:String) [Install-ADServiceAccount], ADException
    + FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAcccountFailure,Microsoft.ActiveD
   irectory.Management.Commands.InstallADServiceAccount

image

Mon compte ordinateur était bien dans un groupe que je venais de créer et j’avais bien utilisé PrincipalsAllowedToRetrieveManagedPassword  avec mon nouveau groupe pour assigner l’utilisation de ce compte.

Après quelques recherches, je suis tombé sur ce poste qui indique que si vous utilisez un groupe de sécurité avec le paramètre PrincipalsAllowedToRetrieveManagedPassword  vous devez redémarrer le server pour récupérer la mise à jour du groupe.

J’ai donc redémarré mon serveur et j’ai pu rajouter mon compte de service à l’ordinateur:

image

Facebook Like
Anonymous