托管服务帐号:由于对运行的服务的域用户账号密码管理起来较麻烦,因此托管服务帐号(Managed Service Account)应运而生。所谓托管服务帐号,也即委托给操作系统进行管理的帐号。托管服务帐号(MSA)的密码由操作系统自动设定、维护,定期自动更新,并不需要管理员手工干预,对管理员来说,好像此帐号没有密码一样。
托管服务帐号(MSA)的作用
托管服务账号使得服务相互隔离,需要单独进行自动密码管理
减少服务中断,从而降低TCO
对于每服务或每服务器使用单一的托管服务账号(服务账号不能被多台计算机共享)
在Windows Server 2008 R2域功能级别上能更好的进行SPN管理(允许服务器对服务账号的重命名)
操作如下:
1.添加KDSrootKey
Add-KDSRootKey –EffectiveTime((Get-Date).AddHours(-10))
2.创建管理服务账号:
New-ADServiceAccount –Name SampleApp_SVR1–DNSHostname LON-DC1.Adatum.com -PrincipalsAllowedToRetrieveManagedPasswordLON-SVR1$
3.将管理服务账号分配至应用服务器
Add-ADComputerServiceAccount –identityLON-SVR1 –ServiceAccount SampleApp_SVR1
检查
Get-ADServiceAccount -Filter *
时间: 2024-11-10 10:47:00