托管服务帐号:由于对运行的服务的域用户账号密码管理起来较麻烦,因此托管服务帐号(Managed Service Account)应运而生。所谓托管服务帐号,也即委托给操作系统进行管理的帐号。托管服务帐号(MSA)的密码由操作系统自动设定、维护,定期自动更新,并不需要管理员手工干预,对管理员来说,好像此帐号没有密码一样。

 

托管服务帐号(MSA)的作用

托管服务账号使得服务相互隔离,需要单独进行自动密码管理

 

减少服务中断,从而降低TCO

对于每服务或每服务器使用单一的托管服务账号(服务账号不能被多台计算机共享)

Windows Server 2008 R2域功能级别上能更好的进行SPN管理(允许服务器对服务账号的重命名)

操作如下:

1.添加KDSrootKey

Add-KDSRootKey –EffectiveTime((Get-Date).AddHours(-10))

 

2.创建管理服务账号:

New-ADServiceAccount –Name SampleApp_SVR1–DNSHostname LON-DC1.Adatum.com -PrincipalsAllowedToRetrieveManagedPasswordLON-SVR1$

3.将管理服务账号分配至应用服务器

Add-ADComputerServiceAccount –identityLON-SVR1 –ServiceAccount SampleApp_SVR1

检查

Get-ADServiceAccount -Filter *