托管账户
一.应用场景
1.1)导入用户和计算机资源后,活动目录存在相应的用户账户和计算机账户,用户账户的密码我们可以通过PSO,GPO来管理,而计算机账户也是有对应的密码信息。比如在"computers"OU中,可以看到默认加入域的电脑都是被移动到这里(加域重定向到指定ou的命令: redircmp ou=新的计算机OU,dc=contoso,dc=com),右键选择“重置账户”就是重置计算机账户的密码。计算机账户的密码由活动目录维护,每30天作一次更改
1.2)除了用户和计算机账户,还有应用程序的服务账户类型。(比如CRM,SharePoint等应用服务器等指定运行的账户,服务,脚本任务计划运行账户),我们可以使用普通域用户作应用程序账户,这样能很好的解决多台服务器作之间高可用性,负载均衡使用同一个域账户,而域账户可管控,但一旦域账户密码被更改就会出现同步问题。
1.3)从windows server 2008 R2启用托管账户,它结合用户账户和计算机账户两者的特点,由活动目录维护密码(定期修改,同步)。限制是只能在一台服务器使用(win2012R2可以在多台服务器,负载均衡使用)
二.配置过程
重置账户就是重置计算机账户的密码
查看属性编辑器,可以看到刚才重置账户后,这里记录了密码最后一次的修改时间
服务可以指定运行账户
安装IIS服务,打开默认的站点,可以查看到进程是默认的进程
修改进程已自定义域账户运行
修改之后,进程就换成了已自定义的域用户运行
而使用域账户做运行账户最大的问题就是密码一旦定期的修改后,程序也会运行不起来
启用托管账户,默认是10天后启用,这是更改为马上启用
创建托管账户gMSA1 生效和接受服务器为fs1.contoso.com
查看生成的托管账户gMSA1
添加托管账户,在fs服务器之上,添加Active Directory的powershell模块
安装托管账户
接下来我们在应用程序服务器fs1上,测试是否成功。注意托管服务账户不必加密码
本文出自 “johnlu的微软技术博客” 博客,谢绝转载!
学习总结-Active Directory 域服务管理03-托管账户
原文地址:http://johnlu.blog.51cto.com/11615779/1790618
