Active-Directory

將服務帳戶遠端安裝到大量伺服器

  • February 17, 2019

我們有一個我正在嘗試實施的新流程,我的任務之一基本上是每月更改本地管理員密碼,並使用管理員團隊的新密碼更新密碼庫。- 我的 PowerShell 腳本的這一部分很好。

我們還將使用託管服務帳戶,我將使用託管服務帳戶來執行我的 PowerShell 腳本以遠端更改每台伺服器上的密碼。- 這是我的問題。

要像這樣使用服務帳戶,我正在創建一個組來放置伺服器,然後創建一個連結它的服務帳戶:

New-ADServiceAccount -Name "serviceaccount" -DNSHostName "serviceaccount.domain.com" -Path "OU=ServiceAccounts,DC=domain,DC=com" -PrincipalsAllowedToRetrieveManagedPassword "gMSA-ServerGroup"

這一切都很好……但是遠端安裝在每台伺服器上 0_o 不適用於此命令: Install-ADServiceAccount -Identity "serviceaccount"

除非我登錄到需要它的伺服器,否則我已經對此進行了測試,打開 PowerShell 並執行命令,沒有錯誤測試並且完美!

這不起作用:

Invoke-Command -ComputerName $server -Credential $credentials -ScriptBlock {
#try to install service account
Install-ADServiceAccount -Identity "serviceaccount"
}

有人有這個問題嗎?

我可以用不同的方式來做嗎,也許是通過組策略。

伺服器作業系統各不相同:2008 年、2012 年和 2016 年

我強烈建議使用 Microsoft 自己的解決方案LAPS來管理本地管理員密碼。

它基本上是一個組策略擴展,可以更改密碼並將它們儲存在 AD 中電腦帳戶的雜湊屬性中。您可以使用普通的 AD 工具(包括 Powershell)來管理它。有一個小 GUI 工具可以安裝在任何地方(例如管理電腦)。

不需要服務帳戶,但您需要在客戶端電腦上安裝 DLL 並對 AD 權限進行一些(簡單)調整。

更多資訊並在此處下載。下載包中有一個部署指南。

引用自:https://serverfault.com/questions/954026