学习总结-Active Directory 域服务管理03-托管账户

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了学习总结-Active Directory 域服务管理03-托管账户相关的知识,希望对你有一定的参考价值。

托管账户


一.应用场景

1.1)导入用户和计算机资源后,活动目录存在相应的用户账户和计算机账户,用户账户的密码我们可以通过PSO,GPO来管理,而计算机账户也是有对应的密码信息。比如在"computers"OU中,可以看到默认加入域的电脑都是被移动到这里(加域重定向到指定ou的命令: redircmp  ou=新的计算机OU,dc=contoso,dc=com),右键选择“重置账户”就是重置计算机账户的密码。计算机账户的密码由活动目录维护,每30天作一次更改

1.2)除了用户和计算机账户,还有应用程序的服务账户类型。(比如CRM,SharePoint等应用服务器等指定运行的账户,服务,脚本任务计划运行账户),我们可以使用普通域用户作应用程序账户,这样能很好的解决多台服务器作之间高可用性,负载均衡使用同一个域账户,而域账户可管控,但一旦域账户密码被更改就会出现同步问题。

1.3)从windows server 2008 R2启用托管账户,它结合用户账户和计算机账户两者的特点,由活动目录维护密码(定期修改,同步)。限制是只能在一台服务器使用(win2012R2可以在多台服务器,负载均衡使用)


二.配置过程


重置账户就是重置计算机账户的密码

技术分享

查看属性编辑器,可以看到刚才重置账户后,这里记录了密码最后一次的修改时间

技术分享

服务可以指定运行账户

技术分享

安装IIS服务,打开默认的站点,可以查看到进程是默认的进程

技术分享

修改进程已自定义域账户运行

技术分享

修改之后,进程就换成了已自定义的域用户运行

技术分享

而使用域账户做运行账户最大的问题就是密码一旦定期的修改后,程序也会运行不起来

技术分享

启用托管账户,默认是10天后启用,这是更改为马上启用

技术分享

创建托管账户gMSA1 生效和接受服务器为fs1.contoso.com

技术分享

查看生成的托管账户gMSA1

技术分享

技术分享

添加托管账户,在fs服务器之上,添加Active Directory的powershell模块

技术分享

安装托管账户

技术分享

接下来我们在应用程序服务器fs1上,测试是否成功。注意托管服务账户不必加密码

技术分享


技术分享



本文出自 “johnlu的微软技术博客” 博客,谢绝转载!

以上是关于学习总结-Active Directory 域服务管理03-托管账户的主要内容,如果未能解决你的问题,请参考以下文章

学习总结-Active Directory 域服务管理05-辅助域服务器

学习总结-Active Directory 域服务管理03-导入资源

学习总结-Active Directory 域服务管理09-DNS集成

学习总结-Active Directory 域服务管理06-站点和复制

学习总结-Active Directory 域服务管理12-灾难恢复

学习总结-Active Directory 域服务管理-活动目录部署