私たちが実装しようとしている新しいプロセスがあります。私のタスクの1つは、基本的にローカルの管理者パスワードを毎月変更し、管理者チームの新しいパスワードでパスワードボールトを更新することです。 -私のPowerShellスクリプトのこの部分は問題ありません。
また、管理されたサービスアカウントを使用します。管理されたサービスアカウントを使用してPowerShellスクリプトを実行し、すべてのサーバーのパスワードをリモートで変更します。 -これは私の問題です。
このようなサービスアカウントを使用するには、サーバーを配置するグループを作成し、それをリンクするサービスアカウントを作成します。
New-ADServiceAccount -Name "serviceaccount" -DNSHostName "serviceaccount.domain.com" -Path "OU=ServiceAccounts,DC=domain,DC=com" -PrincipalsAllowedToRetrieveManagedPassword "gMSA-ServerGroup"
これはすべてすばらしいですが、すべてのサーバーに0_oをリモートでインストールするには、次のコマンドでは機能しません:Install-ADServiceAccount -Identity "serviceaccount"
それを必要とするサーバーにログインしていない限り、私はこれをテストし、PowerShellを開いてコマンドを実行しました。エラーはテストされておらず、完璧です。
これは機能しません:
Invoke-Command -ComputerName $server -Credential $credentials -ScriptBlock {
#try to install service account
Install-ADServiceAccount -Identity "serviceaccount"
}
誰かがこの問題を抱えていますか?
グループポリシーを使用するなど、別の方法で実行できますか?.
サーバーOSは異なります:2008、2012、2016
ローカル管理者パスワードを管理するには、Microsoft独自のソリューション [〜#〜] laps [〜#〜] を使用することを強くお勧めします。
基本的にはグループポリシーの拡張であり、パスワードを変更して、ADのコンピューターアカウントのハッシュされた属性に保存します。管理には、Powershellなどの通常のADツールを使用します。どこにでもインストールできる小さなGUIツール(管理コンピューターなど)があります。
サービスアカウントは必要ありませんが、DLLをクライアントマシンにインストールし、AD権限を少し(簡単)微調整する必要があります。
詳細とダウンロード ここ 。ダウンロードパッケージには、導入ガイドが含まれています。