Windows设置托管服务帐号(Managed Service Account)
摘要由于对运行的服务的域用户账号密码管理起来较麻烦,因此托管服务帐号(Managed Service Account)应运而生。所谓托管服务帐号,也即委托给操作系统进行管理的帐号。托管服务帐号(MSA)的密码由操作系统自动设定、维护,定期自动更新,并不需要管理员手工干预,对管理员来说,好像此帐号没有密码一样应用场景。托管服务账号使得服务相互隔离,需要单独进行自动密码管理,减少服务中断,从而降低TCO,对于每一服务或每一服务器使用单一的托管服务账号(服务账号不能被多台计算机共享)2、设置步骤2.1、添加KDSrootKey要设置组托管服务账号,需要部署Active
Directory的主根密钥,因此需要使用命令添加KDSrootKey,右键PowerShell—以管理员身份运行—键入命令“Add-KDSRootKey–EffectiveTime((Get-Date).AddHours(-10))”
2.2、创建MSA账号
登录到DC上,以管理员身份打开Powershell,键入命令New-ADServiceAccount进行服务账号创建。
其中各个参数包含各种属性设置。
Name:账户的名称
DNShostname:服务的DNS主机名称
KerberosEncryptionType:任何由主机服务器支持的加密类型
ManagedPasswordIntervalInDays:密码更改时间间隔,以天为单位(如果不提供,则默认值为30天)
PrincipalsAllowedToRetrieveManagedPassword:成员主机或成员主机是其成员的安全组的计算机帐户
2.3、 安装MSA账号
创建账号完成之后,就可以进行MSA账号的安装操作了。在一台Windows Server 2012的成员服务器上安装托管服务账号:右键PowerShell—以管理员身份运行—键入命令“Install-ADServiceAccount”
2.4、 为服务分配MSA账号
安装完成MSA账号后将该账号分配给所需服务:打开服务控制管理器—双击右侧所需配置的服务—单击“登录”标签—选择“此账户”—单击“浏览”—导航至之前所创建的MSA账号—确定
文章评论