web-dev-qa-db-ja.com

多数のサーバーにリモートでサービスアカウントをインストールする

私たちが実装しようとしている新しいプロセスがあります。私のタスクの1つは、基本的にローカルの管理者パスワードを毎月変更し、管理者チームの新しいパスワードでパスワードボールトを更新することです。 -私のPowerShellスクリプトのこの部分は問題ありません。

また、管理されたサービスアカウントを使用します。管理されたサービスアカウントを使用してPowerShellスクリプトを実行し、すべてのサーバーのパスワードをリモートで変更します。 -これは私の問題です。

このようなサービスアカウントを使用するには、サーバーを配置するグループを作成し、それをリンクするサービスアカウントを作成します。

New-ADServiceAccount -Name "serviceaccount" -DNSHostName "serviceaccount.domain.com" -Path "OU=ServiceAccounts,DC=domain,DC=com" -PrincipalsAllowedToRetrieveManagedPassword "gMSA-ServerGroup"

これはすべてすばらしいですが、すべてのサーバーに0_oをリモートでインストールするには、次のコマンドでは機能しません:Install-ADServiceAccount -Identity "serviceaccount"

それを必要とするサーバーにログインしていない限り、私はこれをテストし、PowerShellを開いてコマンドを実行しました。エラーはテストされておらず、完璧です。

これは機能しません:

Invoke-Command -ComputerName $server -Credential $credentials -ScriptBlock {
 #try to install service account
 Install-ADServiceAccount -Identity "serviceaccount"
}

誰かがこの問題を抱えていますか?

グループポリシーを使用するなど、別の方法で実行できますか?.

サーバーOSは異なります:2008、2012、2016

3

ローカル管理者パスワードを管理するには、Microsoft独自のソリューション [〜#〜] laps [〜#〜] を使用することを強くお勧めします。

基本的にはグループポリシーの拡張であり、パスワードを変更して、ADのコンピューターアカウントのハッシュされた属性に保存します。管理には、Powershellなどの通常のADツールを使用します。どこにでもインストールできる小さなGUIツール(管理コンピューターなど)があります。

サービスアカウントは必要ありませんが、DLLをクライアントマシンにインストールし、AD権限を少し(簡単)微調整する必要があります。

詳細とダウンロード ここ 。ダウンロードパッケージには、導入ガイドが含まれています。

2
Trix