Есть ли способ использовать управляемую учетную запись службы (msDS-GroupManagedServiceAccount) для подключения к Exchange через Powershell? Наш сценарий следующий: у нас есть служебный компонент, написанный на c#, который подключается к Exchange через Remote Powershell. Компонент службы запускается как управляемая учетная запись службы.
Вызов New-PSSession выглядит следующим образом:
New-PSSession
-Configurationname Microsoft.Exchange
-ConnectionUri "http://server/powershell"
-Authentication Kerberos
-AllowRedirection
-ErrorAction Stop
Как видите, учетные данные не указаны, поэтому учетные данные, которые отправленный на сервер Exchange является учетными данными текущего пользователя (который, кажется, работает при просмотре возвращенного сообщения об ошибке). В результате появляется следующая ошибка:
Processing data from remote server failed with the following error message:
[ClientAccessServer=...,BackEndServer=...,RequestId=...,TimeStamp=...]
[AuthZRequestId=6c727005-565b-4019-855f-657ae6b86ee7][FailureCategory=AuthZ-CmdletAccessDeniedException]
The operation couldn't be performed because 'domain\account$' couldn't be found.
домен \ учетная запись $ показывает правильный логин управляемой учетной записи службы.
Журнал событий сервера обмена также утверждает:
Source: "MSExchange RBAC", Event ID: 16):
(Process w3wp.exe, PID 8980)
"RBAC authorization returns Access Denied for user domain\account$ (SID=S-...).
Reason: User was not found on Domain Controller XYZ.
В настоящее время я подозреваю, что «компонент» RBA C явно ищет объекты типа «пользователь» в Active Directory, но не для объектов msDS-GroupManagedServiceAccount, поэтому мне интересно, поддерживается ли это вообще.