共计 2527 个字符,预计需要花费 7 分钟才能阅读完成。
Windows Server 2008 R2 中托管服务帐号的方法是什么呢,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面丸趣 TV 小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。
在现代化的企业中,计算机网络占据了重中之重的地位, 越来越多的企业核心业务依附于计算机网络架构,例如:往来电子邮件,文件共享,即时通信等。而在网络架构下,企业所部署的计算机操作系统、业务应用程序、后台数据库等各种应用系统的种类越来越多,网络架构也越来越复杂,而应用系统正常运作,除了前台的应用界面外,更重要的是后台的进程或后台的服务,有了后台进程和服务的稳定运行,才能保证业务活动的正常进行。
后台的进程和服务,都需要指定某一特定运行帐号,应该指定哪些帐号呢?我们可以从后台服务的分类来探讨:
第一类是操作系统自带服务,例如 BITS 服务、DNS Client 服务等,他们的作用是为操作系统运行提供后台支撑,在 Windows 操作系统下,我们知道有这么三个特殊帐号用以启动此类服务,分别是:
SYSTEM 帐号:系统帐号。部分操作系统版本会识别为 Local System 帐号。由 System 帐号开启的后台进程,拥有对计算机 *** 的访问权限,并可接收其他用户的请求,并颁发访问令牌等。
Local Service 帐号:本地服务帐号。是预设的拥有最小权限的本地账户,并在网络凭证中具有匿名的身份。Local Service 账户通常可以访问 Local Service、Everyone 组还有认证用户有权限访问的资源
Network Service 帐号:网络服务帐号。是预设的拥有本机部分权限的本地账户,它能够以计算机的名义访问网络资源。以 Network Service 账户运行的服务会根据实际环境把访问凭据提交给远程的计算机。Network Service 账户通常可以访问 Network Service、Everyone 组,还有认证用户有权限访问的资源
第二类是业务应用系统服务,例如 SQL Server 服务,ERP 应用服务等,他们是为了满足某一业务应用提供后台支撑。一般我们需要指定某一域帐号来启动此类服务,在微软的活动目录架构下,此帐号往往都是域帐号。而对于域帐号的密码管理,每个企业都有自己的一套规范,
例如:某些企业可能要求域用户的密码:
密码最小长度 7 位
最长 42 天更改密码
不能使用最近三次使用过的密码作为新密码
显然运行服务的域帐号也必须每 42 天更改一次密码,一旦超过 42 天没有更改,则原密码过期,会造成服务无法正常运行。
对管理员来说,定期更改服务帐号的密码是繁琐的,且服务种类、帐号越多,更加难以管理。有些系统管理员为了管理方便,往往还会设置服务帐号为密码永不过期。这样虽然避免了定期更改密码,减小了工作量,但是长期不更改密码,增加了密码泄露的风险。
而在 Windows Server 2008 R2 中的托管服务帐号(MSA)出现,解决了这一问题,他是如何实现的,我们来看看。
托管服务帐号
由于对运行的服务的域用户账号密码管理起来较麻烦,因此托管服务帐号(Managed Service Account)应运而生。所谓托管服务帐号,也即委托给操作系统进行管理的帐号。托管服务帐号(MSA)的密码由操作系统自动设定、维护,定期自动更新,并不需要管理员手工干预,对管理员来说,好像此帐号没有密码一样。
托管服务帐号(MSA)的作用
托管服务账号使得服务相互隔离,需要单独进行自动密码管理
减少服务中断,从而降低 TCO
对于每服务或每服务器使用单一的托管服务账号(服务账号不能被多台计算机共享)
在 Windows Server 2008 R2 域功能级别上能更好的进行 SPN 管理(允许服务器对服务账号的重命名)
托管服务帐号(MSA)的使用
配置和应用托管服务帐号(MSA),需要进行三个步骤:
创建 MSA 帐号安装 MSA 帐号为服务分配 MSA 帐号。
1. 创建 MSA 帐号:
MSA 帐号的创建需要通过 PowerShell 的 New-ADServiceAccount 命令创建,如下图所示:
创建完成后,可以在 AD 用户与计算机中看到刚才创建的 MSAtest 帐号。
2. 安装 MSA 帐号
创建帐号完成之后,就可以进行 MSA 帐号的安装操作了。在一台 Windows Server 2008 R2 的成员服务器或 Windows 7 的客户端计算机上安装托管服务账号,使用 PowerShell 中的 Install-ADServiceAccount 命令,需要注意的是:
注意:
1) 托管服务帐号(MSA)仅支持 Windows Server 2008 R2 或 Windows 7 的操作系统,对早期版本的操作系统,不做支持。
2) 一个托管服务帐号(MSA)仅能安装到一台计算机上,不能被多台计算机共享。也即意味着 MSA 帐号并不支持群集服务。
3. 为服务分配 MSA 帐号
以 Windows Server 2008 R2 成员服务器为例。
首先打开服务控制管理器,展开配置 - 服务,在右侧双击所需配置的服务,在登录标签页下,选择“此账户”-“浏览”,导航到之前创建的 MSA 帐号,点击确定。使用该服务以选定 MSA 帐号运行,结果如下图所示:
注意:
1) 默认情况下,后台服务并不允许设置一个密码为空的帐号来启动,但唯独 MSA 帐号例外,其实 MSA 帐号其实是有密码的,但管理员无需设置而已。
托管服务帐号(MSA)的注意事项
使用托管服务帐号,大大简化了企业内部服务帐号的管理工作,但也有一些注意事项。
赋予 MSA 合适的访问权限是非常关键的
指派权限给 MSA 就像指派权限给一个用户服务账号
SCM 给 MSA 通过 logonAsService 赋予 local system 权限
安装管理器不会让你指定一个没有密码的账户
使用一个标准服务器账号进行安装
给一个 MSA 复制权限
在 SCM 中更改服务来使用 MSA
计划作业不能以托管服务账户运行
因为 MSA 帐号只能安装在一台计算机上,不能被多台计算机共享,所以托管服务账号不能使用在群集服务中
如果域功能级别是 Windows Server 2008 R2, 服务账号的 SPN 将会在服务账号被重命名时更新。
看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注丸趣 TV 行业资讯频道,感谢您对丸趣 TV 的支持。
