服务帐户循序渐进指南.docx
《服务帐户循序渐进指南.docx》由会员分享,可在线阅读,更多相关《服务帐户循序渐进指南.docx(14页珍藏版)》请在第壹文秘上搜索。
1、服务帐户循序渐进指南更新时间:2010年8月应用到:WindORs7,WindowsServer2008R2在WindowsServer2008R2与Windowse7中引入了两种新的帐户类型,即托管服务帐户与虚拟帐户,以便增强网络应用程序(如MicrosoftExchange与Internet信息服务(IIS)的服务隔离与可管理性。此循序渐进指南提供了有关如何在运行WindOWSServer2008R2与Windows7的客户端计算机上设置与管理托管服务帐户与虚拟帐户的全面信息。本文档包含: 托管服务帐户与虚拟帐户概念。 托管服务帐户与虚拟帐户的客户端与域操纵器支持要求。 配置与管理托管服务
2、帐户与虚拟帐户所需的工具。 用于配置与管理托管服务帐户与虚拟帐户的步骤。 使用虚拟帐户。 对托管服务帐户与虚拟帐户问题进行疑难解答。 用于托管服务帐户的应用程序编程接口(API)e托管服务帐户与虚拟帐户概念关键网络应用程序(如Exchange与1IS)面临的一项安全挑战是,选择让应用程序使用的适当帐户类型。在本地计算机上,管理员能够对应用程序进行配置,使其作为本地服务、网络服务或者本地系统运行。这些服务帐户的配置与使用都很简单,但通常是在多个应用程序与服务间共享的,且无法在域级别上进行管理.假如将应用程序配置为使用域帐户,则能够分离该应用程序的权限,但需要手动管理密码或者为管理这些密码创建自定
3、义解决方案。许多服务器应用程序都使用此策略来增强安全性,但该策略要求增加管理工作与复杂性。在这些部署中,服务管理员将在任务保护方面花费大量的时间,如管理Kerberos身份验证所褥的服务密码与服务主体名称(SPN)e此外,这些保护任务可能会中断服务。WindowsServer2008R2与Windows7中提供的这两种新帐户类型,即托管服务帐户与虚拟帐户,其设计目的在于为关键应用程序(如Exchange或者IlS)提供分离其自身帐户的功能,同时使管理员无需手动管理这些帐户的SPN与凭据。WindowsServer2008R2与Windows7中的托管服务帐户是提供下列功能以简化服务管理的托管域
4、帐户:自动密码管理。 简化的SPN管理,包含委派其他管理员进行管理。在WindowsServer2008R2域功能级别能够使用其他自动SPN管理。有关全面信息,请参阅本文档中的“使用托管服务帐户与虚拟帐户的要求”。WindowsServer2008R2与Windows7中的虚拟帐户是提供下列功能以简化服务管理的“托管本地帐户”: 不需要进行密码管理。 能够使用域环境中的计算机标识访问网络。使用托管服务帐户与虚拟帐户的要求若要使用托管服务帐户与虚拟帐户,安装应用程序或者服务的客户端计算机运行的务必是WindowsServer2008R2或者WindOWS7。在WindowsServer2008R
5、2与Windows7中,一个托管服务帐户能够用于单台计算机上的服务。无法在多台计算机之间共享托管服务帐户,也无法在多个群集节点复制某个服务的服务器群集中使用托管服务帐户。WindowsServer2008R2功能级别的域为自动密码管理与SPN管理提供本机支持。假如该域是在WindowsServer2003功能级别或者WindowsServer2008功能级别运行,则将需要额外的配置步骤来支持托管服务帐户。这意味着: 计算机的Samaccountname属性发生更换。 计算机的DNS名称属性发生更换。 为计算机添加了Samaccountname屈性。 为计算机添加了dns-host-name属性
6、。假如域操纵器位于运行WindowsServer2008或者WindOWSServer2003的计算机上但已将ActiveDirectory架构更新到WindowsServer2008R2来支持此功能,则能够使用托管服务帐户,并将自动管理服务帐户密码。但是,使用这些服务器操作系统的域管埋员仍需手动为托管服务帐户配置SPN数据。若要在WindowsServer2008、WindowsServer2003或者混合模式域环境中使用托管服务帐户,务必完成下列任务:1 .在林级别运行adprep/fOrestprep彳备注2 .在要创建与使用托管服务帐户的蜉个域中运行adprepdainprp3 .在城
7、中部署运行下列操作系统之一的域操纵器:WindowsServer2008R2 具有ActiveDirectory管理网关服务的WindowsServer2008 具有ActiveDirectory管理网关服务的WindowsServer2003彳备注需要使用下表中的工具配置与管理托管服务帐户。工具可用位置WindowsPowerShell命令行接口WindowsServer2008R2与Windows7托管服务帐户CmdletWindowsServer2008R2与WindoWS7Dsacls.exeWindowsServer2008R2与Windows7Installutil.exeWind
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 服务 帐户 循序渐进 指南