服务帐户循序渐进指南.docx

1、服务帐户循序渐进指南服务帐户循序渐进指南更新时间: 2010年8月应用到: Windows 7, Windows Server 2008 R2在 Windows Server 2008 R2 和 Windows 7 中引入了两种新的帐户类型，即托管服务帐户和虚拟帐户，以便增强网络应用程序（如 Microsoft Exchange 和 Internet 信息服务 (IIS)）的服务隔离和可管理性。此循序渐进指南提供了有关如何在运行 Windows Server 2008 R2 和 Windows 7 的客户端计算机上设置和管理托管服务帐户和虚拟帐户的详细信息。本文档包括： 托管服务帐户和虚拟帐户

2、概念。 托管服务帐户和虚拟帐户的客户端和域控制器支持要求。 配置和管理托管服务帐户和虚拟帐户所需的工具。 用于配置和管理托管服务帐户和虚拟帐户的步骤。 使用虚拟帐户。 对托管服务帐户和虚拟帐户问题进行疑难解答。 用于托管服务帐户的应用程序编程接口 (API)。托管服务帐户和虚拟帐户概念关键网络应用程序（如 Exchange 和 IIS）面临的一项安全挑战是，选择让应用程序使用的适当帐户类型。在本地计算机上，管理员可以对应用程序进行配置，使其作为本地服务、网络服务或本地系统运行。这些服务帐户的配置和使用都很简单，但通常是在多个应用程序和服务间共享的，且无法在域级别上进行管理。如果将应用程序配置为

3、使用域帐户，则可以分离该应用程序的权限，但需要手动管理密码或为管理这些密码创建自定义解决方案。许多服务器应用程序都使用此策略来增强安全性，但该策略要求增加管理工作和复杂性。在这些部署中，服务管理员将在任务维护方面花费大量的时间，如管理 Kerberos 身份验证所需的服务密码和服务主体名称 (SPN)。此外，这些维护任务可能会中断服务。Windows Server 2008 R2 和 Windows 7 中提供的这两种新帐户类型，即托管服务帐户和虚拟帐户，其设计目的在于为关键应用程序（如 Exchange 或 IIS）提供分离其自身帐户的功能，同时使管理员无需手动管理这些帐户的 SPN 和凭据

4、。Windows Server 2008 R2 和 Windows 7 中的托管服务帐户是提供下列功能以简化服务管理的托管域帐户： 自动密码管理。 简化的 SPN 管理，包括委派其他管理员进行管理。在 Windows Server 2008 R2 域功能级别可以使用其他自动 SPN 管理。有关详细信息，请参阅本文档中的“使用托管服务帐户和虚拟帐户的要求”。Windows Server 2008 R2 和 Windows 7 中的虚拟帐户是提供下列功能以简化服务管理的“托管本地帐户”： 不需要进行密码管理。 能够使用域环境中的计算机标识访问网络。使用托管服务帐户和虚拟帐户的要求若要使用托管服务帐

5、户和虚拟帐户，安装应用程序或服务的客户端计算机运行的必须是 Windows Server 2008 R2 或 Windows 7。在 Windows Server 2008 R2 和 Windows 7 中，一个托管服务帐户可以用于单台计算机上的服务。无法在多台计算机之间共享托管服务帐户，也无法在多个群集节点复制某个服务的服务器群集中使用托管服务帐户。Windows Server 2008 R2 功能级别的域为自动密码管理和 SPN 管理提供本机支持。如果该域是在 Windows Server 2003 功能级别或 Windows Server 2008 功能级别运行，则将需要额外的配置步骤来

6、支持托管服务帐户。这意味着： 如果域位于 Windows Server 2008 R2 功能级别，则可以简化托管服务帐户的 SPN 管理。具体而言，在下列四种情形中计算机上安装的所有托管服务帐户 SPN 的 DNS 部分都从 oldname.domain-dns- 更改为 newname.domain-dns-： 计算机的 samaccountname 属性发生更改。 计算机的 DNS 名称属性发生更改。 为计算机添加了 samaccountname 属性。 为计算机添加了 dns-host-name 属性。 如果域控制器位于运行 Windows Server 2008 或 Windows S

7、erver 2003 的计算机上但已将 Active Directory 架构更新到 Windows Server 2008 R2 来支持此功能，则可以使用托管服务帐户，并将自动管理服务帐户密码。但是，使用这些服务器操作系统的域管理员仍需手动为托管服务帐户配置 SPN 数据。若要在 Windows Server 2008、Windows Server 2003 或混合模式域环境中使用托管服务帐户，必须完成以下任务：1. 在林级别运行 adprep /forestprep。 备注 有关详细信息，请参阅 Adprep。 2. 在要创建和使用托管服务帐户的每个域中运行 adprep /domainp

8、rep。3. 在域中部署运行以下操作系统之一的域控制器： Windows Server 2008 R2 具有 Active Directory 管理网关服务的 Windows Server 2008 具有 Active Directory 管理网关服务的 Windows Server 2003备注 通过 Active Directory 管理网关服务，运行 Windows Server 2003 或 Windows Server 2008 的域控制器的管理员可以使用 Windows PowerShell cmdlet 管理托管服务帐户。有关 Active Directory 管理网关服务的详细

9、信息，请参阅 Microsoft 下载中心中的 Active Directory 管理网关服务（Windows Server 2003 和 Windows Server 2008 的 Active Directory Web 服务） ( AD DS 的新增功能：Active Directory Web 服务。 有关管理 SPN 的详细信息，请参阅服务主体名称（可能为英文网页）。需要使用下表中的工具配置和管理托管服务帐户。工具 可用位置 Windows PowerShell 命令行接口Windows Server 2008 R2 和Windows 7托管服务帐户 cmdletWindows Se

10、rver 2008 R2 和Windows 7Dsacls.exeWindows Server 2008 R2 和Windows 7Installutil.exeWindows Server 2008 R2 和Windows 7Sc.exe 命令行工具及服务控制管理器 UIWindows Server 2008 R2 和Windows 7服务管理单元控制台Windows Server 2008 R2 和Windows 7SetSPN.exe从 下载NTRights.exe从 下载重要事项 尽管某些版本的 Active Directory 用户和计算机管理单元允许管理员创建新的 msDS-Man

11、agedServiceAccount 对象，但是使用此管理单元创建的托管服务帐户将缺少必要的属性。因此，不应该使用该选项创建托管服务帐户。应仅使用 Windows PowerShell 来创建托管服务帐户。 在可以使用托管服务帐户 cmdlet 之前，需要在客户端计算机或服务器上安装 .NET Framework 3.5x 及 Windows PowerShell 的 Active Directory 模块。在运行 Windows Server 2008 R2 的计算机上安装 .NET Framework 及 Windows PowerShell 的 Active Directory 模块的步

12、骤1. 单击“开始”，指向“管理工具”，然后单击“服务器管理器”。2. 在“功能”下，单击“添加功能”。3. 在添加功能向导的“选择功能”页面上，展开“NET Framework 3.5.1 功能”，然后选择 .NET Framework 3.5.1。4. 单击“下一步”，然后单击“安装”。5. 展开“远程服务器管理工具”和“AD DS 和 AD LDS 工具”，然后选择“Active Directory PowerShell 管理单元”。6. 单击“下一步”，然后单击“安装”。7. 安装完成后，关闭添加功能向导。在运行 Windows 7 的计算机上安装 .NET Framework 及 W

13、indows PowerShell 的 Active Directory 模块的步骤1. 打开 Web 浏览器，然后从 将远程服务器管理工具下载到硬盘上的某个位置。2. 双击下载的文件，并按照说明安装远程服务器管理工具。3. 单击开始，然后单击“控制面板”。4. 依次单击“程序”、“程序和功能”，然后在左窗格中单击“打开或关闭 Windows 功能”。5. 确认选择 Microsoft .NET Framework 3.5.1。如果没有，请将其选中。6. 展开“远程服务器管理工具”和“AD DS 和 AD LDS 工具”，然后选择“Active Directory PowerShell 管理单

14、元”。7. 单击“确定”。备注 如果必须启用 .NET Framework，系统将提示您重新启动计算机。 有关详细信息，请参阅 Windows PowerShell Cmdlet 帮助（可能为英文网页）。配置和管理托管服务帐户概述以下部分提供配置和使用托管服务帐户的过程。这些过程包括： 使用默认的托管服务帐户容器创建和使用托管服务帐户。 将服务帐户移动到另一台计算机。 从用户帐户迁移到托管服务帐户。 重设托管服务帐户的密码。这些方案承担两个管理角色： 域管理员可以在 Active Directory 域服务 (AD DS) 中创建、管理以及委派对托管服务帐户的管理。此外，具有创建/删除 msD

15、S-ManagedServiceAccount 权限的任何用户也可以管理这些托管服务帐户。 服务管理员在运行 Windows Server 2008 R2 或 Windows 7 的计算机上安装和管理这些帐户，其中这些计算机用于运行应用程序或服务。该角色的用户需要是计算机上本地 Administrators 组的成员。Windows Server 2008 R2 包括设置和管理托管服务帐户所需的所有 Windows PowerShell cmdlet。可以使用 Windows PowerShell cmdlet 来创建、读取、更新和删除域控制器上的托管服务帐户。在 Windows Server

16、 2008 R2 和 Windows 7 中，没有用于创建和管理这些帐户的用户界面。在运行 Windows Server 2008 R2 或 Windows 7 的计算机上，服务管理员可以使用 Windows PowerShell cmdlet 安装和卸载这些帐户以及重设这些帐户的密码。安装托管服务帐户之后，服务管理员可以配置服务或应用程序使用该帐户；不再需要指定或更改这些服务的密码，因为这些帐户密码将由计算机自动进行维护。服务管理员将能够在服务帐户上配置 SPN，而无需域管理员权限。创建和使用托管服务帐户可以使用以下过程创建和管理托管服务帐户。导入 Windows PowerShell 的

17、Active Directory 模块的步骤1. 依次单击开始、“所有程序”和“Windows PowerShell 2.0”，然后单击“Windows PowerShell”图标。2. 运行下列命令：Import-Module ActiveDirectory。创建新托管服务帐户的步骤1. 在域控制器上，单击开始，然后单击“运行”。在“打开”框中，键入 dsa.msc，然后单击“确定”打开 Active Directory 用户和计算机管理单元。确认“托管服务帐户”容器存在。2. 依次单击开始、“所有程序”和“Windows PowerShell 2.0”，然后单击“Windows Power

18、Shell”图标。3. 运行下列命令：New-ADServiceAccount -SAMAccountName -Path 。备注 可选参数以方括号 表示，占位符值以尖括号 表示。 可以使用 OtherAttributes 参数在新对象上设置其他属性。还可以使用 Instance 参数基于定义的模板创建新对象。以下附加参数可以与此 cmdlet 一起使用：复制代码 -OtherAttributes -Instance -Server -Credential -PassThru -Name -Description -DisplayName -Enabled -ServicePrincipalN

19、ames -AccountExpirationDate -AccountNotDelegated -AccountPassword -AllowReversiblePasswordEncryption -CannotChangePassword -Certificates -ChangePasswordAtLogon -HomePage -PasswordNeverExpires -PasswordNotRequired -PermittedLogonTime -PrimaryGroup 创建一个或多个托管服务帐户之后，可能有必要获得有关这些帐户的信息。在 AD DS 中获取托管服务帐户信息的

20、步骤1. 依次单击开始、“所有程序”和“Windows PowerShell 2.0”，然后单击“Windows PowerShell”图标。2. 运行下列命令：Get-ADServiceAccount -Identity -Server -Credential -LDAPFilter -Filter -WhatIf Common PowerShell Parameters。如果在 AD DS 中已经存在服务帐户，则可以使用以下 cmdlet 将该服务帐户修改为托管服务帐户。在现有托管服务帐户上设置属性的步骤1. 依次单击开始、“所有程序”和“Windows PowerShell 2.0”，然

21、后单击“Windows PowerShell”图标。2. 运行下列命令：Set-ADServiceAccount -Identity 。如果某个托管服务帐户将不再使用，您可能希望从 AD DS 中删除该帐户。从 AD DS 中删除托管服务帐户的步骤1. 依次单击开始、“所有程序”和“Windows PowerShell 2.0”，然后单击“Windows PowerShell”图标。2. 运行下列命令：Remove-ADServiceAccount -Identity -Partition -Confirm -WhatIf -PassThru -Server -Credential Commo

22、n PowerShell Parameters。本地管理员或服务管理员必须在运行托管应用程序的 Windows Server 2008 R2 或 Windows 7 的计算机上运行以下 cmdlet。第一个 cmdlet 安装托管服务帐户。在本地计算机上安装托管服务帐户的步骤1. 依次单击开始、“所有程序”和“Windows PowerShell 2.0”，然后单击“Windows PowerShell”图标。2. 运行下列命令：Install-ADServiceAccount -Identity -Confirm -WhatIf -Credential 。警告 帐户名称属性必须与安全帐户管理

23、器 (SAM) 数据库中的帐户名称匹配。如果帐户名称属性与对应的 SAM 帐户名称不匹配，则安装会失败并出现错误 0xC0000225。 以下步骤介绍如何将服务配置为使用托管服务帐户运行。可以使用“服务”管理单元控制台 (Services.msc) 或使用 CreateService API 完成此任务。使用“服务”管理单元控制台将服务配置为使用托管服务帐户的步骤1. 单击开始，指向“管理工具”，然后单击“服务”。2. 系统要求提供权限时，单击“继续”。3. 右键单击要使用的服务的名称，然后单击“属性”。4. 依次单击“登录”选项卡、“此帐户”，然后采用 domainnameaccountna

24、me 格式键入托管服务帐户的名称，或单击“浏览”搜索此帐户。确认密码字段为空，然后单击“确定”。5. 选择服务名称，然后单击“启动服务”或“重新启动服务”。确认在服务的“登录身份”列中出现新配置的帐户名称。重要事项 在“服务”管理单元控制台中，帐户名称的结尾必须有美元符号 ($)。使用“服务”管理单元控制台时，会将 SeServiceLogonRight 登录权限自动分配给此帐户。如果使用 Sc.exe 工具或 API 配置此帐户，则必须使用“安全策略”管理单元、Secedit.exe 或 NTRights.exe 等工具为此帐户明确授予此权限。 如果在此计算机上不再使用托管服务帐户，则本地管

25、理员可能希望从本地计算机卸载此帐户。从本地计算机卸载托管服务帐户的步骤1. 依次单击开始、“所有程序”和“Windows PowerShell 2.0”，然后单击“Windows PowerShell”图标。2. 运行下列命令：Uninstall-ADServiceAccount -Identity -Confirm -WhatIf -Credential 。尽管会基于域的密码重设要求定期重设托管服务帐户密码，但如有必要，本地管理员仍然可以手动重设此密码。为 Internet 信息服务配置服务帐户希望改进 IIS 应用程序隔离的组织可以将 IIS 应用程序池配置为运行托管服务帐户。使用 Int

26、ernet 信息服务 (IIS) 管理器管理单元将服务配置为使用托管服务帐户的步骤 1. 单击开始，指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。2. 依次双击 、“应用程序池”，右键单击 ，然后单击“高级设置”。3. 在“标识”框中，依次单击 、“自定义帐户”，然后单击“设置”。4. 采用 domainnameaccountname 格式键入托管服务帐户的名称。重要事项 保留密码为空，并确保帐户名称结尾具有美元符号 ($)。 5. 在“应用程序池任务”下，单击“停止”，然后单击“启动”。 委派托管服务帐户管理域管理员可能希望将服务帐户的管理委派给服务管理员。在 A

27、D DS 中没有用于委派管理的 Windows PowerShell cmdlet。因此，可以使用如 Dsacls.exe 这样的工具将服务帐户的管理委派给服务管理员。委派的服务管理员必须具有以下权限： 删除 读取 列出内容 读取属性 列出对象 控制访问 帐户限制的 Write_property 登录信息的 Write_property 描述的 Write_property displayName 的 Write_property 验证写入到 DNS 主机名的 Write_self 验证写入服务主体名称的 Write_self以下过程包括一个示例 Dsacls 脚本，该脚本说明如何为托管服务帐

28、户配置委派的权限。在 AD DS 中委派服务帐户管理的步骤1. 打开命令提示符窗口。2. 运行以下 Dsacls 脚本（将 corpnet 和 contoso 替换为您自己的网络名称）：dsacls CN=svcacc1,CN=Managed Service Accounts,DC=,DC=,DC= /G ServiceAdmin:SDRCLCRPLOCA ServiceAdmin:WP;Logon Information ServiceAdmin:WP;Description ServiceAdmin:WP;DisplayName ServiceAdmin:WP;Account Restrictions ServiceAdmin:WS;Validated write to DNS host name ServiceAdmin:WS;Validated write to service principal name。备注 有关详细信息，请参阅 Dsacls（可能为英文网页）。 在单独的 OU 中创建和使用托管服务帐户在单独的组织单位 (OU) 中创建和使用托管服务帐户的过程与第一个方案类似。不同之处在于，很多组织将希望创建一个新 OU，以便