Active-Directory
將服務帳戶遠端安裝到大量伺服器
我們有一個我正在嘗試實施的新流程,我的任務之一基本上是每月更改本地管理員密碼,並使用管理員團隊的新密碼更新密碼庫。- 我的 PowerShell 腳本的這一部分很好。
我們還將使用託管服務帳戶,我將使用託管服務帳戶來執行我的 PowerShell 腳本以遠端更改每台伺服器上的密碼。- 這是我的問題。
要像這樣使用服務帳戶,我正在創建一個組來放置伺服器,然後創建一個連結它的服務帳戶:
New-ADServiceAccount -Name "serviceaccount" -DNSHostName "serviceaccount.domain.com" -Path "OU=ServiceAccounts,DC=domain,DC=com" -PrincipalsAllowedToRetrieveManagedPassword "gMSA-ServerGroup"
這一切都很好……但是遠端安裝在每台伺服器上 0_o 不適用於此命令:
Install-ADServiceAccount -Identity "serviceaccount"
除非我登錄到需要它的伺服器,否則我已經對此進行了測試,打開 PowerShell 並執行命令,沒有錯誤測試並且完美!
這不起作用:
Invoke-Command -ComputerName $server -Credential $credentials -ScriptBlock { #try to install service account Install-ADServiceAccount -Identity "serviceaccount" }
有人有這個問題嗎?
我可以用不同的方式來做嗎,也許是通過組策略。
伺服器作業系統各不相同:2008 年、2012 年和 2016 年
我強烈建議使用 Microsoft 自己的解決方案LAPS來管理本地管理員密碼。
它基本上是一個組策略擴展,可以更改密碼並將它們儲存在 AD 中電腦帳戶的雜湊屬性中。您可以使用普通的 AD 工具(包括 Powershell)來管理它。有一個小 GUI 工具可以安裝在任何地方(例如管理電腦)。
不需要服務帳戶,但您需要在客戶端電腦上安裝 DLL 並對 AD 權限進行一些(簡單)調整。
更多資訊並在此處下載。下載包中有一個部署指南。