服务帐户循序渐进指南

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

服务帐户循序渐进指南更新时间:2010年8月应用到:Windows7,WindowsServer2008R2在WindowsServer®2008R2和Windows®7中引入了两种新的帐户类型,即托管服务帐户和虚拟帐户,以便增强网络应用程序(如MicrosoftExchange和Internet信息服务(IIS))的服务隔离和可管理性。此循序渐进指南提供了有关如何在运行WindowsServer2008R2和Windows7的客户端计算机上设置和管理托管服务帐户和虚拟帐户的详细信息。本文档包括:托管服务帐户和虚拟帐户概念。托管服务帐户和虚拟帐户的客户端和域控制器支持要求。配置和管理托管服务帐户和虚拟帐户所需的工具。用于配置和管理托管服务帐户和虚拟帐户的步骤。使用虚拟帐户。对托管服务帐户和虚拟帐户问题进行疑难解答。用于托管服务帐户的应用程序编程接口(API)。托管服务帐户和虚拟帐户概念关键网络应用程序(如Exchange和IIS)面临的一项安全挑战是,选择让应用程序使用的适当帐户类型。在本地计算机上,管理员可以对应用程序进行配置,使其作为本地服务、网络服务或本地系统运行。这些服务帐户的配置和使用都很简单,但通常是在多个应用程序和服务间共享的,且无法在域级别上进行管理。如果将应用程序配置为使用域帐户,则可以分离该应用程序的权限,但需要手动管理密码或为管理这些密码创建自定义解决方案。许多服务器应用程序都使用此策略来增强安全性,但该策略要求增加管理工作和复杂性。在这些部署中,服务管理员将在任务维护方面花费大量的时间,如管理Kerberos身份验证所需的服务密码和服务主体名称(SPN)。此外,这些维护任务可能会中断服务。WindowsServer2008R2和Windows7中提供的这两种新帐户类型,即托管服务帐户和虚拟帐户,其设计目的在于为关键应用程序(如Exchange或IIS)提供分离其自身帐户的功能,同时使管理员无需手动管理这些帐户的SPN和凭据。WindowsServer2008R2和Windows7中的托管服务帐户是提供下列功能以简化服务管理的托管域帐户:自动密码管理。简化的SPN管理,包括委派其他管理员进行管理。在WindowsServer2008R2域功能级别可以使用其他自动SPN管理。有关详细信息,请参阅本文档中的“使用托管服务帐户和虚拟帐户的要求”。WindowsServer2008R2和Windows7中的虚拟帐户是提供下列功能以简化服务管理的“托管本地帐户”:不需要进行密码管理。能够使用域环境中的计算机标识访问网络。使用托管服务帐户和虚拟帐户的要求若要使用托管服务帐户和虚拟帐户,安装应用程序或服务的客户端计算机运行的必须是WindowsServer2008R2或Windows7。在WindowsServer2008R2和Windows7中,一个托管服务帐户可以用于单台计算机上的服务。无法在多台计算机之间共享托管服务帐户,也无法在多个群集节点复制某个服务的服务器群集中使用托管服务帐户。WindowsServer2008R2功能级别的域为自动密码管理和SPN管理提供本机支持。如果该域是在WindowsServer2003功能级别或WindowsServer2008功能级别运行,则将需要额外的配置步骤来支持托管服务帐户。这意味着:如果域位于WindowsServer2008R2功能级别,则可以简化托管服务帐户的SPN管理。具体而言,在下列四种情形中计算机上安装的所有托管服务帐户SPN的DNS部分都从oldname.domain-dns-suffix.com更改为newname.domain-dns-suffix.com:计算机的samaccountname属性发生更改。计算机的DNS名称属性发生更改。为计算机添加了samaccountname属性。为计算机添加了dns-host-name属性。如果域控制器位于运行WindowsServer2008或WindowsServer2003的计算机上但已将ActiveDirectory架构更新到WindowsServer2008R2来支持此功能,则可以使用托管服务帐户,并将自动管理服务帐户密码。但是,使用这些服务器操作系统的域管理员仍需手动为托管服务帐户配置SPN数据。若要在WindowsServer2008、WindowsServer2003或混合模式域环境中使用托管服务帐户,必须完成以下任务:1.在林级别运行adprep/forestprep。备注有关详细信息,请参阅Adprep。2.在要创建和使用托管服务帐户的每个域中运行adprep/domainprep。3.在域中部署运行以下操作系统之一的域控制器:WindowsServer2008R2具有ActiveDirectory管理网关服务的WindowsServer2008具有ActiveDirectory管理网关服务的WindowsServer2003备注通过ActiveDirectory管理网关服务,运行WindowsServer2003或WindowsServer2008的域控制器的管理员可以使用WindowsPowerShellcmdlet管理托管服务帐户。有关ActiveDirectory管理网关服务的详细信息,请参阅Microsoft下载中心中的ActiveDirectory管理网关服务(WindowsServer2003和WindowsServer2008的ActiveDirectoryWeb服务)(=164543)(可能为英文网页)以及ADDS的新增功能:ActiveDirectoryWeb服务。有关管理SPN的详细信息,请参阅服务主体名称(可能为英文网页)。需要使用下表中的工具配置和管理托管服务帐户。工具可用位置WindowsPowerShell命令行接口WindowsServer2008R2和Windows7托管服务帐户cmdletWindowsServer2008R2和Windows7Dsacls.exeWindowsServer2008R2和Windows7Installutil.exeWindowsServer2008R2和Windows7Sc.exe命令行工具及服务控制管理器UIWindowsServer2008R2和Windows7服务管理单元控制台WindowsServer2008R2和Windows7SetSPN.exe从=44321下载NTRights.exe从=130308下载重要事项尽管某些版本的ActiveDirectory用户和计算机管理单元允许管理员创建新的msDS-ManagedServiceAccount对象,但是使用此管理单元创建的托管服务帐户将缺少必要的属性。因此,不应该使用该选项创建托管服务帐户。应仅使用WindowsPowerShell来创建托管服务帐户。在可以使用托管服务帐户cmdlet之前,需要在客户端计算机或服务器上安装.NETFramework3.5x及WindowsPowerShell的ActiveDirectory模块。在运行WindowsServer2008R2的计算机上安装.NETFramework及WindowsPowerShell的ActiveDirectory模块的步骤1.单击“开始”,指向“管理工具”,然后单击“服务器管理器”。2.在“功能”下,单击“添加功能”。3.在添加功能向导的“选择功能”页面上,展开“NETFramework3.5.1功能”,然后选择.NETFramework3.5.1。4.单击“下一步”,然后单击“安装”。5.展开“远程服务器管理工具”和“ADDS和ADLDS工具”,然后选择“ActiveDirectoryPowerShell管理单元”。6.单击“下一步”,然后单击“安装”。7.安装完成后,关闭添加功能向导。在运行Windows7的计算机上安装.NETFramework及WindowsPowerShell的ActiveDirectory模块的步骤1.打开Web浏览器,然后从=153874将远程服务器管理工具下载到硬盘上的某个位置。2.双击下载的文件,并按照说明安装远程服务器管理工具。3.单击「开始」,然后单击“控制面板”。4.依次单击“程序”、“程序和功能”,然后在左窗格中单击“打开或关闭Windows功能”。5.确认选择Microsoft.NETFramework3.5.1。如果没有,请将其选中。6.展开“远程服务器管理工具”和“ADDS和ADLDS工具”,然后选择“ActiveDirectoryPowerShell管理单元”。7.单击“确定”。备注如果必须启用.NETFramework,系统将提示您重新启动计算机。有关详细信息,请参阅WindowsPowerShellCmdlet帮助(可能为英文网页)。配置和管理托管服务帐户概述以下部分提供配置和使用托管服务帐户的过程。这些过程包括:使用默认的托管服务帐户容器创建和使用托管服务帐户。将服务帐户移动到另一台计算机。从用户帐户迁移到托管服务帐户。重设托管服务帐户的密码。这些方案承担两个管理角色:域管理员可以在ActiveDirectory域服务(ADDS)中创建、管理以及委派对托管服务帐户的管理。此外,具有创建/删除msDS-ManagedServiceAccount权限的任何用户也可以管理这些托管服务帐户。服务管理员在运行WindowsServer2008R2或Windows7的计算机上安装和管理这些帐户,其中这些计算机用于运行应用程序或服务。该角色的用户需要是计算机上本地Administrators组的成员。WindowsServer2008R2包括设置和管理托管服务帐户所需的所有WindowsPowerShellcmdlet。可以使用WindowsPowerShellcmdlet来创建、读取、更新和删除域控制器上的托管服务帐户。在WindowsServer2008R2和Windows7中,没有用于创建和管理这些帐户的用户界面。在运行WindowsServer2008R2或Windows7的计算机上,服务管理员可以使用WindowsPowerShellcmdlet安装和卸载这些帐户以及重设这些帐户的密码。安装托管服务帐户之后,服务管理员可以配置服务或应用程序使用该帐户;不再需要指定或更改这些服务的密码,因为这些帐户密码将由计算机自动进行维护。服务管理员将能够在服务帐户上配置SPN,而无需域管理员权限。创建和使用托管服务帐户可以使用以下过程创建和管理托管服务帐户。导入WindowsPowerShell的ActiveDirectory模块的步骤1.依次单击「开始」、“所有程序”和“WindowsPowerShell2.0”,然后单击“WindowsPowerShell”图标。2.运行下列命令:Import-ModuleActiveDirectory。创建新托管服务帐户的步骤1.在域控制器上,单击「开始」,然后单击“运行”。在“打开”框中,键入dsa.msc,然后单击“确定”打开ActiveDirectory用户和计算机管理单元。确认“托管服务帐户”容器存在。2.依次单击「开始」、“所有程序”和“WindowsPowerShell2.0”,然后单击“WindowsPowerShell”图标。3.运行下列命令:New-ADServiceAccount[-SAMAccountNameString][-PathString]。备注可选参数以方括号[]表示,占位符值以尖括号表示。可以使用OtherA

1 / 15
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功