gMSA oder MSA Account entfernen
Wie ein gMSA Account eingerichtet wird ist mittlerweile bekannt. Was bei der Deinstallation bzw. beim Entfernen oft vergessen wird, sind die Gruppenmitgliedschaften eines gMSA Accounts.
Uninstall Group Managed Service Account
Zuerst überprüft man die Zuweisung eines gMSA Accounts, also für welche Hosts er eingerichtet wurde.
Get-ADServiceAccount -Identity gMSA1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Dann hebt man die Zuweisungen auf
Set-ADServiceAccount gMSA1 -PrincipalsAllowedToRetrieveManagedPassword $NULL -PassThru
Test-ADServiceAccount gMSA1$
Dann fragt man ab in welchen Gruppen der gMSA Account Mitglied ist,
$ADGruppen = (Get-ADServiceAccount -Identity gMSA1$ -Properties MemberOf).MemberOf
$ADGruppen | Get-ADGroup | Select-Object Name
und entfernt den gMSA Account anschließend aus allen Gruppen
Remove-ADPrincipalGroupMembership gMSA1$ -MemberOf $ADGruppen
Zum Abschluß wird der gMSA Account aus dem Active Directory gelöscht.
Remove-ADServiceAccount -Identity gMSA1
Get-ADServiceAccount -Identity gMSA1
Ein Kommentar
Kommentare sind geschlossen.