Windows Server 2008 R2托管賬號(hào)的設(shè)置方法
在現(xiàn)代化的企業(yè)中,計(jì)算機(jī)網(wǎng)絡(luò)占據(jù)了重中之重的地位,網(wǎng)絡(luò)架構(gòu)越來(lái)越復(fù)雜,而應(yīng)用系統(tǒng)正常運(yùn)作,除了前臺(tái)的應(yīng)用界面外,更重要的是后臺(tái)的進(jìn)程或后臺(tái)的服務(wù),有了后臺(tái)進(jìn)程和服務(wù)的穩(wěn)定運(yùn)行,才能保證業(yè)務(wù)活動(dòng)的正常進(jìn)行。
對(duì)管理員來(lái)說(shuō),定期更改服務(wù)帳號(hào)的密碼是繁瑣的,且服務(wù)種類、帳號(hào)越多,更加難以管理。有些系統(tǒng)管理員為了管理方便,往往還會(huì)設(shè)置服務(wù)帳號(hào)為密碼永不過(guò)期。這樣雖然避免了定期更改密碼,減小了工作量,但是長(zhǎng)期不更改密碼,增加了密碼泄露的風(fēng)險(xiǎn)。
而在Windows Server 2008 R2中的托管服務(wù)帳號(hào)(MSA)出現(xiàn),解決了這一問(wèn)題,他是如何實(shí)現(xiàn)的,我們來(lái)看看。
托管服務(wù)帳號(hào)
由于對(duì)運(yùn)行的服務(wù)的域用戶賬號(hào)密碼管理起來(lái)較麻煩,因此托管服務(wù)帳號(hào)(Managed Service Account)應(yīng)運(yùn)而生。所謂托管服務(wù)帳號(hào),也即委托給操作系統(tǒng)進(jìn)行管理的帳號(hào)。托管服務(wù)帳號(hào)(MSA)的密碼由操作系統(tǒng)自動(dòng)設(shè)定、維護(hù),定期自動(dòng)更新,并不需要管理員手工干預(yù),對(duì)管理員來(lái)說(shuō),好像此帳號(hào)沒(méi)有密碼一樣。
托管服務(wù)帳號(hào)(MSA)的作用
托管服務(wù)賬號(hào)使得服務(wù)相互隔離,需要單獨(dú)進(jìn)行自動(dòng)密碼管理
減少服務(wù)中斷,從而降低TCO
對(duì)于每服務(wù)或每服務(wù)器使用單一的托管服務(wù)賬號(hào)(服務(wù)賬號(hào)不能被多臺(tái)計(jì)算機(jī)共享)
在Windows Server 2008 R2域功能級(jí)別上能更好的進(jìn)行SPN管理(允許服務(wù)器對(duì)服務(wù)賬號(hào)的重命名)
托管服務(wù)帳號(hào)(MSA)的使用
配置和應(yīng)用托管服務(wù)帳號(hào)(MSA),需要進(jìn)行三個(gè)步驟:
創(chuàng)建MSA帳號(hào)安裝MSA帳號(hào)為服務(wù)分配MSA帳號(hào)。
1. 創(chuàng)建MSA帳號(hào):
MSA帳號(hào)的創(chuàng)建需要通過(guò)PowerShell的New-ADServiceAccount命令創(chuàng)建,如下圖所示:
創(chuàng)建完成后,可以在AD用戶與計(jì)算機(jī)中看到剛才創(chuàng)建的MSAtest帳號(hào)。
2. 安裝MSA帳號(hào)
創(chuàng)建帳號(hào)完成之后,就可以進(jìn)行MSA帳號(hào)的安裝操作了。在一臺(tái)Windows Server 2008 R2的成員服務(wù)器或Windows 7的客戶端計(jì)算機(jī)上安裝托管服務(wù)賬號(hào),使用PowerShell中的Install-ADServiceAccount命令,需要注意的是:
注意:
1) 托管服務(wù)帳號(hào)(MSA)僅支持Windows Server 2008 R2或Windows 7的操作系統(tǒng),對(duì)早期版本的操作系統(tǒng),不做支持。
2) 一個(gè)托管服務(wù)帳號(hào)(MSA)僅能安裝到一臺(tái)計(jì)算機(jī)上,不能被多臺(tái)計(jì)算機(jī)共享。也即意味著MSA帳號(hào)并不支持群集服務(wù)。
3. 為服務(wù)分配MSA帳號(hào)
以Windows Server 2008 R2成員服務(wù)器為例。
首先打開(kāi)服務(wù)控制管理器,展開(kāi)配置-服務(wù),在右側(cè)雙擊所需配置的服務(wù),在登錄標(biāo)簽頁(yè)下,選擇“此賬戶”-“瀏覽”,導(dǎo)航到之前創(chuàng)建的MSA帳號(hào),點(diǎn)擊確定。使用該服務(wù)以選定MSA帳號(hào)運(yùn)行,結(jié)果如下圖所示:
注意:
1) 默認(rèn)情況下,后臺(tái)服務(wù)并不允許設(shè)置一個(gè)密碼為空的帳號(hào)來(lái)啟動(dòng),但唯獨(dú)MSA帳號(hào)例外,其實(shí)MSA帳號(hào)其實(shí)是有密碼的,但管理員無(wú)需設(shè)置而已。
托管服務(wù)帳號(hào)(MSA)的注意事項(xiàng)
使用托管服務(wù)帳號(hào),大大簡(jiǎn)化了企業(yè)內(nèi)部服務(wù)帳號(hào)的管理工作,但也有一些注意事項(xiàng)。
賦予MSA合適的訪問(wèn)權(quán)限是非常關(guān)鍵的指派權(quán)限給MSA就像指派權(quán)限給一個(gè)用戶服務(wù)賬號(hào)SCM給MSA通過(guò)logonAsService賦予local system權(quán)限安裝管理器不會(huì)讓你指定一個(gè)沒(méi)有密碼的賬戶。使用一個(gè)標(biāo)準(zhǔn)服務(wù)器賬號(hào)進(jìn)行安裝給一個(gè)MSA復(fù)制權(quán)限在SCM中更改服務(wù)來(lái)使用MSA ,計(jì)劃作業(yè)不能以托管服務(wù)賬戶運(yùn)行。因?yàn)镸SA帳號(hào)只能安裝在一臺(tái)計(jì)算機(jī)上,不能被多臺(tái)計(jì)算機(jī)共享,所以托管服務(wù)賬號(hào)不能使用在群集服務(wù)中如果域功能級(jí)別是Windows Server 2008 R2, 服務(wù)賬號(hào)的SPN將會(huì)在服務(wù)賬號(hào)被重命名時(shí)更新。
通過(guò)以上介紹,我們了解了有關(guān)托管服務(wù)帳號(hào)(MSA)的基本概念,創(chuàng)建方法,使用場(chǎng)景等,希望在合適的場(chǎng)合下,大家可以正確使用。
【編輯推薦】