使用gMSA和PsExec

Question

我正在使用PsExec启动一个可执行文件，传递给PsExec的用户名对应于一个gMSA帐户。

1. 在AD域控制器中自动旋转时，使用PsExec启动的可执行文件能否得到密码更新？我知道密码将自动更新在客户端的窗口服务，希望检查这是相同的可执行文件的启动使用PsExec。
2. 如何验证客户端可执行文件在域控制器中更改密码时是否刷新了密码？有我能查到的日志吗？我知道我可以在服务器中检查PasswordLastSet，但希望验证使用gMSA帐户的客户端是否获得了新的密码。

Answer 1

GetServiceAccountPassword函数的docs对此有更多的了解。

但简而言之，您不必担心任何密码业务。

引用上述链接：

如果没有时间获取密码，操作系统首先尝试从本地缓存检索密码。如果是获取密码的时间，则操作系统将与域控制器联系，否则，返回任何缓存的密码，状态值为成功。

所以基于这些

( 1)是的，但它不是直接获得密码，而是通过调用SSPI在引擎盖下发生的。

2)不必担心这一点。所有这些都是在LSASS层实现的。