Windows Server 2008 R2托管服务账户(MSA)的功能

Windows  /  管理员 发布于 7年前   230

今天部署AD RMS的时候，需要为RMS单独创建一个服务账号，于是联想起Server 2008 R2中的一个新功能：托管服务账号。首先我们先了解一下它是什么吧?
托管服务帐号：由于对运行的服务的域用户账号密码管理起来较麻烦，因此托管服务帐号(Managed Service Account)应运而生。所谓托管服务帐号，也即委托给操作系统进行管理的帐号。托管服务帐号(MSA)的密码由操作系统自动设定、维护，定期自动更新，并不需要管理员手工干预，对管理员来说，好像此帐号没有密码一样。

托管服务帐号(MSA)的作用
托管服务账号使得服务相互隔离，需要单独进行自动密码管理

减少服务中断，从而降低TCO
对于每服务或每服务器使用单一的托管服务账号(服务账号不能被多台计算机共享)
在Windows Server 2008 R2域功能级别上能更好的进行SPN管理(允许服务器对服务账号的重命名)

了解完托管服务账号，我们来创建一个RMS服务账号吧!
1. 创建MSA帐号：
登陆到DC上，以管理员身份打开Powershell,输入New-ADServiceAccount 进行服务账号创建。
2.安装MSA帐号
创建帐号完成之后，就可以进行MSA帐号的安装操作了。在一台Windows Server 2008 R2的成员服务器或Windows 7的客户端计算机上安装托管服务账号，我这里的环境是Server 2012做为域成员服务器部署RMS.
以管理员身份打开PowerShell,输入Install-ADServiceAccount命令。
3. 为服务分配MSA帐号
打开服务控制管理器，展开配置-服务，在右侧双击所需配置的服务，在登录标签页下，选择"此账户"-"浏览",导航到之前创建的MSA帐号，点击确定。使用该服务以选定MSA帐号运行。