Windows Server 2012 托管服务账号

Windows设置托管服务帐号（Managed Service Account）

摘要由于对运行的服务的域用户账号密码管理起来较麻烦，因此托管服务帐号（Managed Service Account）应运而生。所谓托管服务帐号，也即委托给操作系统进行管理的帐号。托管服务帐号（MSA）的密码由操作系统自动设定、维护，定期自动更新，并不需要管理员手工干预，对管理员来说，好像此帐号没有密码一样应用场景。托管服务账号使得服务相互隔离，需要单独进行自动密码管理，减少服务中断，从而降低TCO，对于每一服务或每一服务器使用单一的托管服务账号（服务账号不能被多台计算机共享）2、设置步骤2.1、添加KDSrootKey要设置组托管服务账号，需要部署Active
Directory的主根密钥，因此需要使用命令添加KDSrootKey，右键PowerShell—以管理员身份运行—键入命令“Add-KDSRootKey–EffectiveTime((Get-Date).AddHours(-10))”
2.2、创建MSA账号

登录到DC上，以管理员身份打开Powershell，键入命令New-ADServiceAccount进行服务账号创建。

其中各个参数包含各种属性设置。

Name：账户的名称
DNShostname：服务的DNS主机名称
KerberosEncryptionType：任何由主机服务器支持的加密类型
ManagedPasswordIntervalInDays：密码更改时间间隔，以天为单位（如果不提供，则默认值为30天）
PrincipalsAllowedToRetrieveManagedPassword：成员主机或成员主机是其成员的安全组的计算机帐户

2.3、 安装MSA账号

创建账号完成之后，就可以进行MSA账号的安装操作了。在一台Windows Server 2012的成员服务器上安装托管服务账号：右键PowerShell—以管理员身份运行—键入命令“Install-ADServiceAccount”

2.4、 为服务分配MSA账号

安装完成MSA账号后将该账号分配给所需服务：打开服务控制管理器—双击右侧所需配置的服务—单击“登录”标签—选择“此账户”—单击“浏览”—导航至之前所创建的MSA账号—确定