在现代化的企业中,计算机网络占据了重中之重的地位,网络架构越来越复杂,而应用系统正常运作,除了前台的应用界面外,更重要的是后台的进程或后台的服务,有了后台进程和服务的稳定运行,才能保证业务活动的正常进行。
对管理员来说,定期更改服务帐号的密码是繁琐的,且服务种类、帐号越多,更加难以管理。有些系统管理员为了管理方便,往往还会设置服务帐号为密码永不过期。这样虽然避免了定期更改密码,减小了工作量,但是长期不更改密码,增加了密码泄露的风险。
而在Windows Server 2008 R2中的托管服务帐号(MSA)出现,解决了这一问题,他是如何实现的,我们来看看。
托管服务帐号
由于对运行的服务的域用户账号密码管理起来较麻烦,因此托管服务帐号(Managed Service Account)应运而生。所谓托管服务帐号,也即委托给操作系统进行管理的帐号。托管服务帐号(MSA)的密码由操作系统自动设定、维护,定期自动更新,并不需要管理员手工干预,对管理员来说,好像此帐号没有密码一样。
托管服务帐号(MSA)的作用
托管服务账号使得服务相互隔离,需要单独进行自动密码管理
减少服务中断,从而降低TCO
对于每服务或每服务器使用单一的托管服务账号(服务账号不能被多台计算机共享)
在Windows Server 2008 R2域功能级别上能更好的进行SPN管理(允许服务器对服务账号的重命名)
托管服务帐号(MSA)的使用
配置和应用托管服务帐号(MSA),需要进行三个步骤:
创建MSA帐号安装MSA帐号为服务分配MSA帐号。
1. 创建MSA帐号:
MSA帐号的创建需要通过PowerShell的New-ADServiceAccount命令创建,如下图所示:
创建完成后,可以在AD用户与计算机中看到刚才创建的MSAtest帐号。
2. 安装MSA帐号
创建帐号完成之后,就可以进行MSA帐号的安装操作了。在一台Windows Server 2008 R2的成员服务器或Windows 7的客户端计算机上安装托管服务账号,使用PowerShell中的Install-ADServiceAccount命令,需要注意的是:
注意:
1) 托管服务帐号(MSA)仅支持Windows Server 2008 R2或Windows 7的操作系统,对早期版本的操作系统,不做支持。
2) 一个托管服务帐号(MSA)仅能安装到一台计算机上,不能被多台计算机共享。也即意味着MSA帐号并不支持群集服务。
3. 为服务分配MSA帐号
以Windows Server 2008 R2成员服务器为例。
首先打开服务控制管理器,展开配置-服务,在右侧双击所需配置的服务,在登录标签页下,选择“此账户”-“浏览”,导航到之前创建的MSA帐号,点击确定。使用该服务以选定MSA帐号运行,结果如下图所示:
注意:
1) 默认情况下,后台服务并不允许设置一个密码为空的帐号来启动,但唯独MSA帐号例外,其实MSA帐号其实是有密码的,但管理员无需设置而已。
托管服务帐号(MSA)的注意事项
使用托管服务帐号,大大简化了企业内部服务帐号的管理工作,但也有一些注意事项。
赋予MSA合适的访问权限是非常关键的指派权限给MSA就像指派权限给一个用户服务账号SCM给MSA通过logonAsService赋予local system权限安装管理器不会让你指定一个没有密码的账户。使用一个标准服务器账号进行安装给一个MSA复制权限在SCM中更改服务来使用MSA ,计划作业不能以托管服务账户运行。因为MSA帐号只能安装在一台计算机上,不能被多台计算机共享,所以托管服务账号不能使用在群集服务中如果域功能级别是Windows Server 2008 R2, 服务账号的SPN将会在服务账号被重命名时更新。
通过以上介绍,我们了解了有关托管服务帐号(MSA)的基本概念,创建方法,使用场景等,希望在合适的场合下,大家可以正确使用。
【编辑推荐】
