Назад | Перейти на главную страницу

Установить сервисную учетную запись удаленно на множество серверов

У нас есть новый процесс, который я пытаюсь реализовать, первая часть моей задачи состоит в том, чтобы каждый месяц менять пароль локального администратора и обновлять хранилище паролей с новым паролем для группы администраторов. - эта часть моего сценария PowerShell в порядке.

Мы также собираемся использовать управляемые учетные записи служб, я буду использовать управляемую учетную запись службы для запуска моего сценария PowerShell для удаленного изменения пароля на каждом сервере. - это моя проблема.

Чтобы использовать такую ​​учетную запись службы, я создаю группу для размещения серверов, а затем создаю учетную запись службы, связывающую ее:

New-ADServiceAccount -Name "serviceaccount" -DNSHostName "serviceaccount.domain.com" -Path "OU=ServiceAccounts,DC=domain,DC=com" -PrincipalsAllowedToRetrieveManagedPassword "gMSA-ServerGroup"

Это все здорово ... но установить 0_o на каждый сервер удаленно с помощью этой команды не получится: Install-ADServiceAccount -Identity "serviceaccount"

Если я не вошел на сервер, который требует этого, я проверил это, откройте PowerShell и запустите команду, никаких ошибок не проверено и идеально !.

Это не работает:

Invoke-Command -ComputerName $server -Credential $credentials -ScriptBlock {
 #try to install service account
 Install-ADServiceAccount -Identity "serviceaccount"
}

У кого-нибудь есть эта проблема?

Могу я сделать это по-другому, может через групповую политику.

ОС сервера различается: 2008, 2012 и 2016

Я настоятельно рекомендую использовать собственное решение Microsoft, LAPS, для управления паролями локальных администраторов.

По сути, это расширение групповой политики, которое изменяет пароли и сохраняет их в хешированном атрибуте учетной записи компьютера в AD. Вы используете обычные инструменты AD, включая Powershell, для управления им. Есть небольшой графический интерфейс, который можно установить где угодно (например, на управляющий компьютер).

Учетная запись службы не требуется, но вам нужно установить DLL на клиентские машины и выполнить небольшую (простую) настройку разрешений AD.

Подробнее и скачать Вот. В пакете загрузки есть руководство по развертыванию.