託管服務帳號:由於對運行的服務的域用戶賬號密碼管理起來較麻煩,因此託管服務帳號(Managed Service Account)應運而生。所謂託管服務帳號,也即委託給操作系統進行管理的帳號。託管服務帳號(MSA)的密碼由操作系統自動設定、維護,定期自動更新,並不需要管理員手工干預,對管理員來說,好像此帳號沒有密碼一樣。
託管服務帳號(MSA)的作用
託管服務賬號使得服務相互隔離,需要單獨進行自動密碼管理
減少服務中斷,從而降低TCO
對於每服務或每服務器使用單一的託管服務賬號(服務賬號不能被多臺計算機共享)
在Windows Server 2008 R2域功能級別上能更好的進行SPN管理(允許服務器對服務賬號的重命名)
操作如下:
1.添加KDSrootKey
Add-KDSRootKey –EffectiveTime((Get-Date).AddHours(-10))
2.創建管理服務賬號:
New-ADServiceAccount –Name SampleApp_SVR1–DNSHostname LON-DC1.Adatum.com -PrincipalsAllowedToRetrieveManagedPasswordLON-SVR1$
3.將管理服務賬號分配至應用服務器
Add-ADComputerServiceAccount –identityLON-SVR1 –ServiceAccount SampleApp_SVR1
檢查
Get-ADServiceAccount -Filter *