托管账户


一.应用场景

1.1)导入用户和计算机资源后,活动目录存在相应的用户账户和计算机账户,用户账户的密码我们可以通过PSO,GPO来管理,而计算机账户也是有对应的密码信息。比如在"computers"OU中,可以看到默认加入域的电脑都是被移动到这里(加域重定向到指定ou的命令: redircmp  ou=新的计算机OU,dc=contoso,dc=com),右键选择“重置账户”就是重置计算机账户的密码。计算机账户的密码由活动目录维护,每30天作一次更改

1.2)除了用户和计算机账户,还有应用程序的服务账户类型。(比如CRM,SharePoint等应用服务器等指定运行的账户,服务,脚本任务计划运行账户),我们可以使用普通域用户作应用程序账户,这样能很好的解决多台服务器作之间高可用性,负载均衡使用同一个域账户,而域账户可管控,但一旦域账户密码被更改就会出现同步问题。

1.3)从windows server 2008 R2启用托管账户,它结合用户账户和计算机账户两者的特点,由活动目录维护密码(定期修改,同步)。限制是只能在一台服务器使用(win2012R2可以在多台服务器,负载均衡使用)


二.配置过程


重置账户就是重置计算机账户的密码

查看属性编辑器,可以看到刚才重置账户后,这里记录了密码最后一次的修改时间

学习总结-Active Directory 域服务管理04-托管账户_第1张图片

服务可以指定运行账户

学习总结-Active Directory 域服务管理04-托管账户_第2张图片

安装IIS服务,打开默认的站点,可以查看到进程是默认的进程

学习总结-Active Directory 域服务管理04-托管账户_第3张图片

修改进程已自定义域账户运行

学习总结-Active Directory 域服务管理04-托管账户_第4张图片

修改之后,进程就换成了已自定义的域用户运行

学习总结-Active Directory 域服务管理04-托管账户_第5张图片

而使用域账户做运行账户最大的问题就是密码一旦定期的修改后,程序也会运行不起来

学习总结-Active Directory 域服务管理04-托管账户_第6张图片

启用托管账户,默认是10天后启用,这是更改为马上启用

创建托管账户gMSA1 生效和接受服务器为fs1.contoso.com

wKiom1dk-MexR4jNAAAojDCFbII126.jpg

查看生成的托管账户gMSA1

学习总结-Active Directory 域服务管理04-托管账户_第7张图片

添加托管账户,在fs服务器之上,添加Active Directory的powershell模块

学习总结-Active Directory 域服务管理04-托管账户_第8张图片

安装托管账户

wKioL1dk-u-gu0FdAAAlyq_oE-g057.jpg

接下来我们在应用程序服务器fs1上,测试是否成功。注意托管服务账户不必加密码

学习总结-Active Directory 域服务管理04-托管账户_第9张图片