將服務帳戶遠端安裝到大量伺服器

我們有一個我正在嘗試實施的新流程，我的任務之一基本上是每月更改本地管理員密碼，並使用管理員團隊的新密碼更新密碼庫。- 我的 PowerShell 腳本的這一部分很好。

我們還將使用託管服務帳戶，我將使用託管服務帳戶來執行我的 PowerShell 腳本以遠端更改每台伺服器上的密碼。- 這是我的問題。

要像這樣使用服務帳戶，我正在創建一個組來放置伺服器，然後創建一個連結它的服務帳戶：

New-ADServiceAccount -Name "serviceaccount" -DNSHostName "serviceaccount.domain.com" -Path "OU=ServiceAccounts,DC=domain,DC=com" -PrincipalsAllowedToRetrieveManagedPassword "gMSA-ServerGroup"

這一切都很好……但是遠端安裝在每台伺服器上 0_o 不適用於此命令： Install-ADServiceAccount -Identity "serviceaccount"

除非我登錄到需要它的伺服器，否則我已經對此進行了測試，打開 PowerShell 並執行命令，沒有錯誤測試並且完美！

這不起作用：

Invoke-Command -ComputerName $server -Credential $credentials -ScriptBlock {
#try to install service account
Install-ADServiceAccount -Identity "serviceaccount"
}

有人有這個問題嗎？

我可以用不同的方式來做嗎，也許是通過組策略。

伺服器作業系統各不相同：2008 年、2012 年和 2016 年

我強烈建議使用 Microsoft 自己的解決方案LAPS來管理本地管理員密碼。

它基本上是一個組策略擴展，可以更改密碼並將它們儲存在 AD 中電腦帳戶的雜湊屬性中。您可以使用普通的 AD 工具（包括 Powershell）來管理它。有一個小 GUI 工具可以安裝在任何地方（例如管理電腦）。

不需要服務帳戶，但您需要在客戶端電腦上安裝 DLL 並對 AD 權限進行一些（簡單）調整。

更多資訊並在此處下載。下載包中有一個部署指南。

引用自：https://serverfault.com/questions/954026