У меня странная проблема с аутентификацией при входе в AZCopy, и я запускаю сценарий через запланированную задачу в качестве групповой управляемой учетной записи службы. Пожалуйста, попробуйте следить за тем, как я пытаюсь объяснить эту сложную процедуру... TLDR ниже.
У нас есть производственный компьютер с Windows (ПК), который сохраняет файлы на основе производимых им виджетов. Нам нужно сохранить их в долгосрочной перспективе и использовать в виде больших двоичных объектов Azure. Итак, на этом ПК у нас есть сценарий Powershell (сценарий синхронизации), который подключается к учетной записи хранения Azure с помощью «логин AZCopy...» с использованием субъекта-службы Azure. Затем он синхронизирует файлы с ПК в контейнер больших двоичных объектов Azure. Этот сценарий отлично работает, когда я запускаю его на ПК либо как мой собственный пользователь, либо из командной строки Powershell, запускаемой как групповая управляемая учетная запись службы в нашем домене.
У нас есть сервер, с которого мы запускаем все наши различные сценарии Powershell (Tasks Server). На этом сервере задач у нас есть еще один скрипт powershell (Kickoff Script), который создаст New-PSSession для вышеупомянутого ПК, а затем использует Invoke-Command с этим PSSession для запуска вышеупомянутого Sync Script на ПК. Это прекрасно работает, когда я запускаю его на сервере задач как мой собственный пользователь и когда я запускаю его как запланированную задачу как мой пользователь.
Однако, когда я запускаю powershell в качестве gMSA на сервере задач, мне не удается войти в систему AZCopy. Даже попытка запустить команды по одной, а не в скрипте, не удалась. Ошибка:
Не удалось выполнить команду входа: не удалось зашифровать токен.
запрошенная операция не может быть завершена. Компьютеру нужно доверять
для делегирования, а текущая учетная запись пользователя должна быть настроена на
разрешить делегирование.
Я запускал «Enable-WSManCredSSP -role Client -DelegateComputer», а также «Enable-WSManCredSSP -role Server» на ПК и на сервере задач без разницы.
Может кто-нибудь, пожалуйста, помогите мне понять, почему это не удается?
TLDR; Групповая управляемая учетная запись службы на сервере Server1 запускает сценарий powershell запланированной задачи для создания PSSession и Invoke-Command на ПК1. ПК1 получает вызов и запускает сценарий от имени GMSA, а также выполняет вход в систему azcopy.exe с субъектом-службой и ошибкой.
