У нас есть новый процесс, который я пытаюсь реализовать, первая часть моей задачи состоит в том, чтобы менять пароль локального администратора каждый месяц и обновите хранилище паролей с новым паролем для группы администраторов. - эта часть моего сценария PowerShell в порядке.
Мы также собираемся использовать управляемые учетные записи служб, я буду использовать управляемую учетную запись службы для запуска моего сценария PowerShell для удаленного изменения пароля на каждом сервере. - это моя проблема.
Чтобы использовать учетную запись службы таким образом, я создаю группу для размещения серверов в затем создайте учетную запись службы, связывающую ее:
New-ADServiceAccount -Name "serviceaccount" -DNSHostName "serviceaccount.domain.com" -Path "OU=ServiceAccounts,DC=domain,DC=com" -PrincipalsAllowedToRetrieveManagedPassword "gMSA-ServerGroup"
Это все замечательно ... но установка 0_o на каждый сервер удаленно с помощью этой команды не работает:
Install-ADServiceAccount -Удостоверение "serviceaccount"
Если я не авторизован на сервере, который требует этого, я проверил это, откройте PowerShell и запустите команду, никаких ошибок не проверено и идеально!.
Это не работает:
Invoke-Command -ComputerName $server -Credential $credentials -ScriptBlock {
#try to install service account
Install-ADServiceAccount -Identity "serviceaccount"
}
Кто угодно есть эта проблема?
Могу ли я сделать это другим способом, возможно, с помощью групповой политики.
ОС сервера различаются: 2008, 2012 и 2016 гг.
Я настоятельно рекомендую использовать собственное решение Microsoft, LAPS , для управления паролями локальных администраторов.
По сути, это расширение групповой политики, которое изменяет пароли и сохраняет их в хешированном атрибуте учетной записи компьютера в AD. Вы используете свои обычные инструменты AD, включая Powershell, для управления им. Есть небольшой инструмент с графическим интерфейсом, который можно установить где угодно (например, на управляющий компьютер).
Учетная запись службы не требуется, но вам нужно установить DLL на клиентские машины и выполнить небольшую (простую) настройку разрешений AD.
Дополнительная информация и загрузка здесь . В загружаемом пакете есть руководство по развертыванию.