服务帐户循序渐进指南.docx

服务帐户循序渐进指南更新时间：2010年8月应用到：WindOR's7,WindowsServer2008R2在WindowsServer®2008R2与Windowse7中引入了两种新的帐户类型，即托管服务帐户与虚拟帐户，以便增强网络应用程序(如MicrosoftExchange与Internet信息服务(IIS)的服务隔离与可管理性。此循序渐进指南提供了有关如何在运行WindOWSServer2008R2与Windows7的客户端计算机上设置与管理托管服务帐户与虚拟帐户的全面信息。本文档包含： 托管服务帐户与虚拟帐户概念。 托管服务帐户与虚拟帐户的客户端与域操纵器支持要求。 配置与管理托管服务帐户与虚拟帐户所需的工具。 用于配置与管理托管服务帐户与虚拟帐户的步骤。 使用虚拟帐户。 对托管服务帐户与虚拟帐户问题进行疑难解答。 用于托管服务帐户的应用程序编程接口(API)e托管服务帐户与虚拟帐户概念关键网络应用程序(如Exchange与1IS)面临的一项安全挑战是，选择让应用程序使用的适当帐户类型。在本地计算机上，管理员能够对应用程序进行配置，使其作为本地服务、网络服务或者本地系统运行。这些服务帐户的配置与使用都很简单，但通常是在多个应用程序与服务间共享的，且无法在域级别上进行管理.假如将应用程序配置为使用域帐户，则能够分离该应用程序的权限，但需要手动管理密码或者为管理这些密码创建自定义解决方案。许多服务器应用程序都使用此策略来增强安全性，但该策略要求增加管理工作与复杂性。在这些部署中，服务管理员将在任务保护方面花费大量的时间，如管理Kerberos身份验证所褥的服务密码与服务主体名称(SPN)e此外，这些保护任务可能会中断服务。WindowsServer2008R2与Windows7中提供的这两种新帐户类型，即托管服务帐户与虚拟帐户，其设计目的在于为关键应用程序(如Exchange或者IlS)提供分离其自身帐户的功能，同时使管理员无需手动管理这些帐户的SPN与凭据。WindowsServer2008R2与Windows7中的托管服务帐户是提供下列功能以简化服务管理的托管域帐户：自动密码管理。 简化的SPN管理，包含委派其他管理员进行管理。在WindowsServer2008R2域功能级别能够使用其他自动SPN管理。有关全面信息，请参阅本文档中的“使用托管服务帐户与虚拟帐户的要求”。WindowsServer2008R2与Windows7中的虚拟帐户是提供下列功能以简化服务管理的“托管本地帐户”： 不需要进行密码管理。 能够使用域环境中的计算机标识访问网络。使用托管服务帐户与虚拟帐户的要求若要使用托管服务帐户与虚拟帐户，安装应用程序或者服务的客户端计算机运行的务必是WindowsServer2008R2或者WindOWS7。在WindowsServer2008R2与Windows7中，一个托管服务帐户能够用于单台计算机上的服务。无法在多台计算机之间共享托管服务帐户，也无法在多个群集节点复制某个服务的服务器群集中使用托管服务帐户。WindowsServer2008R2功能级别的域为自动密码管理与SPN管理提供本机支持。假如该域是在WindowsServer2003功能级别或者WindowsServer2008功能级别运行，则将需要额外的配置步骤来支持托管服务帐户。这意味着： 计算机的Samaccountname属性发生更换。 计算机的DNS名称属性发生更换。 为计算机添加了Samaccountname屈性。 为计算机添加了dns-host-name属性。假如域操纵器位于运行WindowsServer2008或者WindOWSServer2003的计算机上但已将ActiveDirectory架构更新到WindowsServer2008R2来支持此功能，则能够使用托管服务帐户，并将自动管理服务帐户密码。但是，使用这些服务器操作系统的域管埋员仍需手动为托管服务帐户配置SPN数据。若要在WindowsServer2008、WindowsServer2003或者混合模式域环境中使用托管服务帐户，务必完成下列任务:1 .在林级别运行adprep/fOrestprep彳备注2 .在要创建与使用托管服务帐户的蜉个域中运行adprepd<ainprp3 .在城中部署运行下列操作系统之一的域操纵器:WindowsServer2008R2 具有ActiveDirectory管理网关服务的WindowsServer2008 具有ActiveDirectory管理网关服务的WindowsServer2003彳备注需要使用下表中的工具配置与管理托管服务帐户。工具可用位置WindowsPowerShell命令行接口WindowsServer2008R2与Windows7托管服务帐户CmdletWindowsServer2008R2与WindoWS7Dsacls.exeWindowsServer2008R2与Windows7Installutil.exeWindowsServer2008R2与Windows7Sc.exe命令行工具及服务操纵管理器UIWindowsServer2008R2与Windows7服务管理单元操纵台WindowsServer2008R2与Windows7SetSPN.exeNTRights.exe。就要事项尽管某些版本的ActiveDirectory用户与计算机管理单元同意管理员创建新的OisDS-ManagedServiCeAccount对象，但是使用此管理单元创建的托管服务帐户将缺少必要的属性。因此，不应该使用该选项创建托管服务帐户。应仅使用WindowsPowerShell来创建托管服务帐户。在能够使用托管服务帐户Cmdlet之前，需要在客户端计算机或者服务器上安装NETFramework3.5*及WindowsPowerShell的ActiveDirectory模块。在运行WindowsServer2008R2的计算机上安装.NETFramework及WindowsPoverShell的ActiveDirectory模块的步骤1 .单击“开始”，指向“管理工具，然后单击.,服务器管理器”2 .在“功能”下，单击“添加功能”3 .在添加功能向导的“选择功能”页面上，展开“NETFraaework3.5.1功能”,然后选择.NETFramework3.5.14 .单击“下一步”，然后单击“安装”5 .展开“远程朦务器管理工具”与"ADDS与ADLDS工具”，然后选择“ActiveDirectoryPowerShell管理单元6 .单击“下一步”，然后单击“安装”7 .安装完成后，关闭添加功能向导。在运行Windows7的计算机上安装.NETFranework及WindowsPowerShell的ActiveDirectory模块的步骤1 .双击下载的文件，并按照说明安装远程服务器管理工具。2 .单击开始，然后单击“操纵面板”3 .依次单击“程序”.“程序与功能”.然后在左窗格中单击“打开或者关闭Windows功能”4 .确认选择Microsoft.NETFraaework3.5.1假如没有，请将其选中。5 .展开“远程JK务器管理工具”与“ADDS与ADLDS工具”，然后选择*ActiveDirectoryPowerShell管理单元”6 .单在“确定”彳备注假如务必启用.NETFramework,系统将提示您重新启动计算机。配置与管理托管服务帐户概述下列部分提供配置与使用托管服务帐户的过程.这些过程包含： 使用默认的托管服务帐户容器创建与使用托管服务帐户。 将服务帐户移动到另一台计算机。 从用户帐户迁移到托管服务帐户。 重设托管服务帐户的密码。这些方案承担两个管理角色: 域管理员能够在ActiveDirectory域服务（ADDS）中创建、管理与委派对托管服务帐户的管理。此外，具仃创建/删除BsDS-ManagedServiceAccount权限的任何用户也能够管理这些托管服务帐户。 服务管理员在运行WindowsServer2008R2或者Windows7的计算机上安装与管理这些帐户，其中这些计算机用于运行应用程序或者服务。该角色的用户需要是计算机上本地Adninistrators组的成员。WindowsServer2008R2包含设置与管理托管服务帐户所需的所有WindowsPowerShclICmdIeto能够使用WindowsPowerShel1cmdlet来创建、读取、更新与删除域操纵器上的托管服务帐户。在WindowsServer2008R2与Windows7中，没有用于创建与管理这些帐户的用户界面。在运行WindowsServer2008R2或者Windows7的计算机上，服务管理员能够使用WindowsPowerShellcmdlet安装与卸载这些帐户与重设这些帐户的密码。安装托管服务帐户之后，服务管理员能够配置服务或者应用程序使用该帐户：不再需要指定或者更换这些服务的密码，由于这些帐户密码将由计算机自动进行保护。服务管理员将能够在服务帐户上配置SPN,而无需域管理员权限。创建与使用托管服务帐户能够使用下列过程创建与管理托管服务帐户。导入WindowsPoverShell的ActiveDirectory模块的步骤1 .依次单击开始、"所有程序”与*WindowsPowerShell2.0*，然后单击“宵indowsPowerShell*图标。2 .运行下列命令：Import-ModUleActiveDirectory创建新托管服务帐户的步骡1 .在域操纵器上，服击开始J，然后雌击“运行”。在“打开”框中，键入dsa.msc,然后总击“确定”打开ActiveDirectory用户与计算机管理单元。确认“托管服务帐户,容器存在。2 .依次单击开始、"所有程序"lv*WindosPowerShell2.0*.然后单击“胃indowsPowerShell”图标。3 .运行下列命令：New-ADserviceAccount-SAMAccountNaae<String>-Path<String>：彳备注可选参数以方括号表示，占位符值以尖括号<>表示。能够使用OtherAttribUteS参数在新对象上设置其他属性。还能够使用Instance参数基于定义的模板创建新对象。下列附加参数能够与此cmdlet一起使用：复制代码-OtherAttributesHashtable*-Instance<ADService>-ServerString*-Credential<PSCredential>-PassThru-NameString”-DescriptionString”-DisplayName<String>-Enabled<Nullable'>-ServicePrincipalNames<String>-AccountExpirationDate<Nuliable7>-AccountNotDelegated<Nullable'1>-AccountPassword<SecureString>-AllowReversiblepasswordEncryption<Nullable>-Ca