Изменяет ли Install-ADSericeAccount «NT SERVICE \ ALL SERVICES»

Да и нет.

ALL SERVICES - это хорошо известный идентификатор безопасности, членство в котором неявно основано на правилах, жестко закодированных в операционной системе. То есть вы не можете добавлять или удалять пользователей, идентификатор безопасности назначается автоматически соответствующим пользователям или в соответствующей ситуации.

(Например, Local account автоматически назначается всем локальным учетным записям, и Interactive назначается, если вы вошли в систему в интерактивном режиме, тогда как Network вместо этого применяется при доступе к общему сетевому ресурсу. Обозреватель процессов, доступный на веб-сайте Microsoft, представляет собой удобный способ проверки идентификаторов безопасности, соответствующих любому данному процессу; посмотрите вкладку Безопасность диалогового окна Свойства.)

SID для ALL SERVICES S-1-5-80-0 и описание в KB243330 говорит:

SID S-1-5-80-0 = NT УСЛУГИ \ ВСЕ УСЛУГИ

Имя: Все услуги

Описание: группа, в которую входят все сервисные процессы, настроенные в системе. Членство контролируется операционной системой.

Это говорит о том, что идентификатор предоставляется любому процессу, работающему как служба. Это не вариант. Существует хорошо известный идентификатор безопасности, который предоставляется любой службе, но это S-1-5-6, NT AUTHORITY\SERVICE.

Похоже, что ALL SERVICES на самом деле означает это все учетные записи служб.

Сюда входят виртуальные учетные записи (я проверял), а также учетные записи управляемых служб. Однако следует отметить, что это не включать либо NETWORK SERVICE или LOCAL SERVICE как и следовало ожидать.

В итоге, Install-ADServiceAccount не явно добавить новую учетную запись в ALL SERVICES но результат тот же; любая новая управляемая учетная запись службы, которую вы создаете, будет ее участником.