有人建议我最好以组托管服务帐户 (gMSA) 运行计划任务,而不是以域用户帐户运行。我可以找到大量有关如何创建 gMSA 以及如何配置计划任务以作为该 gMSA 运行的信息,但我发现的所有教程和培训都仅限于此。我找不到任何有关如何向该 gMSA 分配权限的信息。
例如,计划任务需要写入文件夹的权限。通常,如果计划任务以域用户身份运行,我会进入该文件夹的属性并设置安全性,以便域用户具有写入权限。但我发现我无法以同样的方式授予 gMSA 许可。
我对 gMSA 有什么误解?
我还没有找到将 GMSA 的权限直接分配给文件系统的方法。我的解决方法是将 GMSA 帐户添加到 AD 组,然后为该组分配权限。
但我发现我无法以同样的方式授予 gMSA 许可。
右键单击文件夹 > 安全 > 编辑 > 对象类型... > 服务帐户 > 确定。
选择主体时,您必须首先设置“对象类型...”以包含服务帐户,默认情况下,它不会在您的搜索中包含它们。然后您应该能够将它用作文件系统访问控制的主体。