服务帐户循序渐进指南Word文件下载.docx
《服务帐户循序渐进指南Word文件下载.docx》由会员分享,可在线阅读,更多相关《服务帐户循序渐进指南Word文件下载.docx(16页珍藏版)》请在冰豆网上搜索。
∙自动密码管理。
∙简化的SPN管理,包括委派其他管理员进行管理。
在WindowsServer2008R2域功能级别可以使用其他自动SPN管理。
有关详细信息,请参阅本文档中的“使用托管服务帐户和虚拟帐户的要求”。
WindowsServer2008R2和Windows7中的虚拟帐户是提供下列功能以简化服务管理的“托管本地帐户”:
∙不需要进行密码管理。
∙能够使用域环境中的计算机标识访问网络。
使用托管服务帐户和虚拟帐户的要求
若要使用托管服务帐户和虚拟帐户,安装应用程序或服务的客户端计算机运行的必须是WindowsServer2008R2或Windows7。
在WindowsServer2008R2和Windows7中,一个托管服务帐户可以用于单台计算机上的服务。
无法在多台计算机之间共享托管服务帐户,也无法在多个群集节点复制某个服务的服务器群集中使用托管服务帐户。
WindowsServer2008R2功能级别的域为自动密码管理和SPN管理提供本机支持。
如果该域是在WindowsServer2003功能级别或WindowsServer2008功能级别运行,则将需要额外的配置步骤来支持托管服务帐户。
这意味着:
∙如果域位于WindowsServer2008R2功能级别,则可以简化托管服务帐户的SPN管理。
具体而言,在下列四种情形中计算机上安装的所有托管服务帐户SPN的DNS部分都从oldname.domain-dns-更改为newname.domain-dns-:
∙计算机的samaccountname属性发生更改。
∙计算机的DNS名称属性发生更改。
∙为计算机添加了samaccountname属性。
∙为计算机添加了dns-host-name属性。
∙如果域控制器位于运行WindowsServer2008或WindowsServer2003的计算机上但已将ActiveDirectory架构更新到WindowsServer2008R2来支持此功能,则可以使用托管服务帐户,并将自动管理服务帐户密码。
但是,使用这些服务器操作系统的域管理员仍需手动为托管服务帐户配置SPN数据。
若要在WindowsServer2008、WindowsServer2003或混合模式域环境中使用托管服务帐户,必须完成以下任务:
1.在林级别运行adprep/forestprep。
备注
有关详细信息,请参阅Adprep。
2.在要创建和使用托管服务帐户的每个域中运行adprep/domainprep。
3.在域中部署运行以下操作系统之一的域控制器:
∙WindowsServer2008R2
∙具有ActiveDirectory管理网关服务的WindowsServer2008
∙具有ActiveDirectory管理网关服务的WindowsServer2003
通过ActiveDirectory管理网关服务,运行WindowsServer2003或WindowsServer2008的域控制器的管理员可以使用WindowsPowerShellcmdlet管理托管服务帐户。
有关ActiveDirectory管理网关服务的详细信息,请参阅Microsoft下载中心中的ActiveDirectory管理网关服务(WindowsServer2003和WindowsServer2008的ActiveDirectoryWeb服务)(ADDS的新增功能:
ActiveDirectoryWeb服务。
有关管理SPN的详细信息,请参阅服务主体名称(可能为英文网页)。
需要使用下表中的工具配置和管理托管服务帐户。
工具
可用位置
WindowsPowerShell命令行接口
WindowsServer2008R2和Windows7
托管服务帐户cmdlet
Dsacls.exe
Installutil.exe
Sc.exe命令行工具及服务控制管理器UI
服务管理单元控制台
SetSPN.exe
从下载
NTRights.exe
重要事项
尽管某些版本的ActiveDirectory用户和计算机管理单元允许管理员创建新的msDS-ManagedServiceAccount对象,但是使用此管理单元创建的托管服务帐户将缺少必要的属性。
因此,不应该使用该选项创建托管服务帐户。
应仅使用WindowsPowerShell来创建托管服务帐户。
在可以使用托管服务帐户cmdlet之前,需要在客户端计算机或服务器上安装.NETFramework3.5x及WindowsPowerShell的ActiveDirectory模块。
在运行WindowsServer2008R2的计算机上安装.NETFramework及WindowsPowerShell的ActiveDirectory模块的步骤
1.单击“开始”,指向“管理工具”,然后单击“服务器管理器”。
2.在“功能”下,单击“添加功能”。
3.在添加功能向导的“选择功能”页面上,展开“NETFramework3.5.1功能”,然后选择.NETFramework3.5.1。
4.单击“下一步”,然后单击“安装”。
5.展开“远程服务器管理工具”和“ADDS和ADLDS工具”,然后选择“ActiveDirectoryPowerShell管理单元”。
6.单击“下一步”,然后单击“安装”。
7.安装完成后,关闭添加功能向导。
在运行Windows7的计算机上安装.NETFramework及WindowsPowerShell的ActiveDirectory模块的步骤
1.打开Web浏览器,然后从将远程服务器管理工具下载到硬盘上的某个位置。
2.双击下载的文件,并按照说明安装远程服务器管理工具。
3.单击「开始」,然后单击“控制面板”。
4.依次单击“程序”、“程序和功能”,然后在左窗格中单击“打开或关闭Windows功能”。
5.确认选择Microsoft.NETFramework3.5.1。
如果没有,请将其选中。
6.展开“远程服务器管理工具”和“ADDS和ADLDS工具”,然后选择“ActiveDirectoryPowerShell管理单元”。
7.单击“确定”。
如果必须启用.NETFramework,系统将提示您重新启动计算机。
有关详细信息,请参阅WindowsPowerShellCmdlet帮助(可能为英文网页)。
配置和管理托管服务帐户概述
以下部分提供配置和使用托管服务帐户的过程。
这些过程包括:
∙使用默认的托管服务帐户容器创建和使用托管服务帐户。
∙将服务帐户移动到另一台计算机。
∙从用户帐户迁移到托管服务帐户。
∙重设托管服务帐户的密码。
这些方案承担两个管理角色:
∙域管理员可以在ActiveDirectory域服务(ADDS)中创建、管理以及委派对托管服务帐户的管理。
此外,具有创建/删除msDS-ManagedServiceAccount权限的任何用户也可以管理这些托管服务帐户。
∙服务管理员在运行WindowsServer2008R2或Windows7的计算机上安装和管理这些帐户,其中这些计算机用于运行应用程序或服务。
该角色的用户需要是计算机上本地Administrators组的成员。
WindowsServer2008R2包括设置和管理托管服务帐户所需的所有WindowsPowerShellcmdlet。
可以使用WindowsPowerShellcmdlet来创建、读取、更新和删除域控制器上的托管服务帐户。
在WindowsServer2008R2和Windows7中,没有用于创建和管理这些帐户的用户界面。
在运行WindowsServer2008R2或Windows7的计算机上,服务管理员可以使用WindowsPowerShellcmdlet安装和卸载这些帐户以及重设这些帐户的密码。
安装托管服务帐户之后,服务管理员可以配置服务或应用程序使用该帐户;
不再需要指定或更改这些服务的密码,因为这些帐户密码将由计算机自动进行维护。
服务管理员将能够在服务帐户上配置SPN,而无需域管理员权限。
创建和使用托管服务帐户
可以使用以下过程创建和管理托管服务帐户。
导入WindowsPowerShell的ActiveDirectory模块的步骤
1.依次单击「开始」、“所有程序”和“WindowsPowerShell2.0”,然后单击“WindowsPowerShell”图标。
2.运行下列命令:
Import-ModuleActiveDirectory。
创建新托管服务帐户的步骤
1.在域控制器上,单击「开始」,然后单击“运行”。
在“打开”框中,键入dsa.msc,然后单击“确定”打开ActiveDirectory用户和计算机管理单元。
确认“托管服务帐户”容器存在。
2.依次单击「开始」、“所有程序”和“WindowsPowerShell2.0”,然后单击“WindowsPowerShell”图标。
3.运行下列命令:
New-ADServiceAccount[-SAMAccountName<
String>
][-Path<
]。
可选参数以方括号[]表示,占位符值以尖括号<
>
表示。
可以使用OtherAttributes参数在新对象上设置其他属性。
还可以使用Instance参数基于定义的模板创建新对象。
以下附加参数可以与此cmdlet一起使用:
复制代码
[-OtherAttributes<
Hashtable>
]
[-Instance<
ADService>
[-Server<
][-Credential<
PSCredential>
]
[-PassThru]
[-Name<
][-Description<
][-DisplayName<
][-Enabled<
Nullable`1>
[-ServicePrincipalNames<
String[]>
[-AccountExpirationDate<
][-AccountNotDelegated<
][-AccountPassword<
SecureString>
[-AllowReversiblePasswordEncryption<
][-CannotChangePassword<
][-Certificates<
[-ChangePasswordAtLogon<
][-HomePage<
][-PasswordNeverExpires<
[-PasswordNotRequired<
][-PermittedLogonTime<
][-PrimaryGroup<
创建一个或多个托管服务帐户之后,可能有必要获得有关这些帐户的信息。
在ADDS中获取托管服务帐户信息的步骤
Get-ADServiceAccount[-Identity]<
ADServiceAccount>
[-Server<
][-LDAPFilter<
][-Filter<
][-WhatIf][CommonPowerShellParameters]。
如果在ADDS中已经存在服务帐户,则可以使用以下cmdlet将该服务帐户修改为托管服务帐户。
在现有托管服务帐户上设置属性的步骤
Set-ADServiceAccount[-Identity]<
。
如果某个托管服务帐户将不再使用,您可能希望从ADDS中删除该帐户。
从ADDS中删除托管服务帐户的步骤
Remove-ADServiceAccount[-Identity]<
[-Partition<
][-Confirm][-WhatIf][-PassThru][-Server<
][CommonPowerShellParameters]。
本地管理员或服务管理员必须在运行托管应用程序的WindowsServer2008R2或Windows7的计算机上运行以下cmdlet。
第一个cmdlet安装托管服务帐户。
在本地计算机上安装托管服务帐户的步骤
Install-ADServiceAccount[-Identity]<
[-Confirm][-WhatIf][-Credential<
警告
帐户名称属性必须与安全帐户管理器(SAM)数据库中的帐户名称匹配。
如果帐户名称属性与对应的SAM帐户名称不匹配,则安装会失败并出现错误0xC0000225。
以下步骤介绍如何将服务配置为使用托管服务帐户运行。
可以使用“服务”管理单元控制台(Services.msc)或使用CreateServiceAPI完成此任务。
使用“服务”管理单元控制台将服务配置为使用托管服务帐户的步骤
1.单击「开始」,指向“管理工具”,然后单击“服务”。
2.系统要求提供权限时,单击“继续”。
3.右键单击要使用的服务的名称,然后单击“属性”。
4.依次单击“登录”选项卡、“此帐户”,然后采用domainname\accountname格式键入托管服务帐户的名称,或单击“浏览”搜索此帐户。
确认密码字段为空,然后单击“确定”。
5.选择服务名称,然后单击“启动服务”或“重新启动服务”。
确认在服务的“登录身份”列中出现新配置的帐户名称。
在“服务”管理单元控制台中,帐户名称的结尾必须有美元符号($)。
使用“服务”管理单元控制台时,会将SeServiceLogonRight登录权限自动分配给此帐户。
如果使用Sc.exe工具或API配置此帐户,则必须使用“安全策略”管理单元、Secedit.exe或NTRights.exe等工具为此帐户明确授予此权限。
如果在此计算机上不再使用托管服务帐户,则本地管理员可能希望从本地计算机卸载此帐户。
从本地计算机卸载托管服务帐户的步骤
Uninstall-ADServiceAccount[-Identity]<
尽管会基于域的密码重设要求定期重设托管服务帐户密码,但如有必要,本地管理员仍然可以手动重设此密码。
为Internet信息服务配置服务帐户
希望改进IIS应用程序隔离的组织可以将IIS应用程序池配置为运行托管服务帐户。
使用Internet信息服务(IIS)管理器管理单元将服务配置为使用托管服务帐户的步骤
1.单击「开始」,指向“管理工具”,然后单击“Internet信息服务(IIS)管理器”。
2.依次双击<
计算机名称>
、“应用程序池”,右键单击<
池名称>
,然后单击“高级设置”。
3.在“标识”框中,依次单击…、“自定义帐户”,然后单击“设置”。
4.采用domainname\accountname格式键入托管服务帐户的名称。
保留密码为空,并确保帐户名称结尾具有美元符号($)。
5.在“应用程序池任务”下,单击“停止”,然后单击“启动”。
委派托管服务帐户管理
域管理员可能希望将服务帐户的管理委派给服务管理员。
在ADDS中没有用于委派管理的WindowsPowerShellcmdlet。
因此,可以使用如Dsacls.exe这样的工具将服务帐户的管理委派给服务管理员。
委派的服务管理员必须具有以下权限:
∙删除
∙读取
∙列出内容
∙读取属性
∙列出对象
∙控制访问
∙帐户限制的Write_property
∙登录信息的Write_property
∙描述的Write_property
∙displayName的Write_property
∙验证写入到DNS主机名的Write_self
∙验证写入服务主体名称的Write_self
以下过程包括一个示例Dsacls脚本,该脚本说明如何为托管服务帐户配置委派的权限。
在ADDS中委派服务帐户管理的步骤
1.打开命令提示符窗口。
2.运行以下Dsacls脚本(将corpnet和contoso替换为您自己的网络名称):
dsacls"
CN=svcacc1,CN=ManagedServiceAccounts,DC=<
corpnet>
DC=<
contoso>
com>
"
/G"
<
Corpnet>
\ServiceAdmin:
SDRCLCRPLOCA"
"
WP;
LogonInformation"
Description"
DisplayName"
AccountRestrictions"
WS;
ValidatedwritetoDNShostname"
Validatedwritetoserviceprincipalname"
有关详细信息,请参阅Dsacls(可能为英文网页)。
在单独的OU中创建和使用托管服务帐户
在单独的组织单位(OU)中创建和使用托管服务帐户的过程与第一个方案类似。
不同之处在于,很多组织将希望创建一个新OU,以便
升级会员 