嗨，我来帮你理清这两个核心问题，顺便给你的脚本提些关键修正建议：

1. $CredSRV1应该在哪里创建？ #

$CredSRV1是SRV1本地管理员的凭证，它的作用是让你运行脚本的机器（不管是域控制器DC，还是其他能远程访问SRV1的机器）有权限通过WinRM远程登录SRV1，执行后续的加域脚本。所以这个凭证对象在你运行脚本的本地机器创建就可以，不需要特意在DC或者SRV1上创建。

2. 如果在DC创建，SRV1怎么获取$CredSRV1的值？ #

其实SRV1根本不需要获取$CredSRV1的值！这个凭证是给本地的Invoke-Command命令用的——当你从本地发起远程调用时，用$CredSRV1来验证你对SRV1的访问权限，SRV1只是接收远程命令的执行请求，不会读取这个凭证对象本身。

你脚本里真正需要在SRV1会话中用到的是$CredRK（域管理员凭证），不过当前脚本里直接在$SB里明文写密码的做法非常不安全，后面我会给你修正这个问题。

修正后的脚本示例（包含安全优化） #

# 创建AD中的计算机账户（这部分在DC或者有权限的机器上执行都可以）
$NCHT = @{
    Name = 'User'
    DNSHostName = 'user.domain.com'
    Description = ''
    Path = 'OU=xyz,DC=domain,DC=com'
}
New-ADComputer @NCHT

# 创建SRV1本地管理员的凭证（在你运行脚本的本地机器创建）
# 建议用Get-Credential交互式输入，避免明文密码
$CredSRV1 = Get-Credential -Message "输入SRV1本地管理员账号"

# 创建加域用的域管理员凭证（同样在本地创建，安全传递到远程会话）
$CredRK = Get-Credential -Message "输入域管理员账号"

# 定义远程执行的加域脚本块
$SB = {
    param($DomainCred, $OUPath)
    $DJHT = @{
        DomainName = 'domain.com'
        OUPath = $OUPath
        Credential = $DomainCred
        Restart = $false
    }
    Add-Computer @DJHT
}

# 配置WinRM信任主机（仅测试用，生产环境建议指定具体主机）
Set-Item -Path WSMan:\localhost\Client\TrustedHosts -Value '*' -Force

# 远程执行加域脚本（注意加上-ScriptBlock参数，传递凭证和OU路径）
Invoke-Command -ComputerName SRV1 -Credential $CredSRV1 -ScriptBlock $SB -ArgumentList $CredRK, 'OU=xyz,DC=domain,DC=com' -Force

# 重启SRV1完成加域
Restart-Computer -ComputerName SRV1 -Credential $CredSRV1 -Force -Wait

# 查看域内计算机账户
Get-ADComputer -Filter * -Properties DNSHostName, LastLogonDate | Format-Table -Property Name, DNSHostname, Enabled -AutoSize

关键优化点说明： #

• 去掉了明文密码，改用Get-Credential交互式输入，避免密码泄露风险
• 修复了Invoke-Command缺少-ScriptBlock参数的错误
• 把域管理员凭证通过-ArgumentList安全传递到远程会话，而不是在脚本块里硬编码
• 修正了原脚本中ConvertTo-SecureString和[pscredential]的语法错误

备注：内容来源于stack exchange，提问作者munishhh