学习总结-Active Directory 域服务管理03-托管账户

Posted 2020-07-26

托管账户

一.应用场景

1.1）导入用户和计算机资源后，活动目录存在相应的用户账户和计算机账户，用户账户的密码我们可以通过PSO,GPO来管理，而计算机账户也是有对应的密码信息。比如在"computers"OU中，可以看到默认加入域的电脑都是被移动到这里（加域重定向到指定ou的命令: redircmp  ou=新的计算机OU,dc=contoso,dc=com),右键选择“重置账户”就是重置计算机账户的密码。计算机账户的密码由活动目录维护，每30天作一次更改

1.2）除了用户和计算机账户，还有应用程序的服务账户类型。（比如CRM,SharePoint等应用服务器等指定运行的账户，服务，脚本任务计划运行账户），我们可以使用普通域用户作应用程序账户，这样能很好的解决多台服务器作之间高可用性，负载均衡使用同一个域账户，而域账户可管控，但一旦域账户密码被更改就会出现同步问题。

1.3）从windows server 2008 R2启用托管账户，它结合用户账户和计算机账户两者的特点，由活动目录维护密码（定期修改，同步）。限制是只能在一台服务器使用（win2012R2可以在多台服务器，负载均衡使用）

二.配置过程

重置账户就是重置计算机账户的密码

查看属性编辑器，可以看到刚才重置账户后，这里记录了密码最后一次的修改时间

服务可以指定运行账户

安装IIS服务，打开默认的站点，可以查看到进程是默认的进程

修改进程已自定义域账户运行

修改之后，进程就换成了已自定义的域用户运行

而使用域账户做运行账户最大的问题就是密码一旦定期的修改后，程序也会运行不起来

启用托管账户，默认是10天后启用，这是更改为马上启用

创建托管账户gMSA1 生效和接受服务器为fs1.contoso.com

查看生成的托管账户gMSA1

添加托管账户，在fs服务器之上，添加Active Directory的powershell模块

安装托管账户

接下来我们在应用程序服务器fs1上，测试是否成功。注意托管服务账户不必加密码

本文出自 “johnlu的微软技术博客” 博客，谢绝转载！