託管服務賬戶

定期修改賬戶的密碼是個好習慣，也可以確保安全性。通常活動目錄中的賬戶都會要求定期修改密碼。對於普通使用者賬戶來說這個並沒有什麼問題，但是對於用於服務執行的賬戶來說定期修改密碼會增加很多維護成本。所以，通常管理員會將這些賬戶勾選密碼永不過期，這樣無疑增加了風險。

windows中有託管服務賬戶managed service account這個功能。可以把密碼維護的工作交由windows自動管理，即保證了安全也降低了維護成本。

建立服務賬戶首先要在ad中生成乙個microsoft group key distribution service的根金鑰。這裡用乙個網上很流行的命令，根據當前時間減去10小時設定金鑰的有效時間。建立完成會顯示金鑰的guid。

add-kdsrootkey -effectivetime ((get-date).addhours(-10)) -verbose

如果看不到圖，請點我。

接下去就可以建立用於服務執行的賬戶了。其中dnshostname可以設定成service.contoso.lab的樣子。這裡我為了好辨認，直接配置了計算機fqdn。另外，需要指定哪些計算機可以使用這個服務賬戶。可以是安全組，也可以是計算機賬戶

new-adserviceaccount msa-client -displayname "msa client test" -dnshostname client-233.contoso.lab -principalsallowedtoretrievemanagedpassword client-233$

新增完畢後可以使用命令驗證一下。

同時在ad的使用者和計算機管理單元裡也能直接看到這個剛剛建立出來的託管服務賬戶。

接下去，我們就使用這個賬戶來執行windows time服務。直接在服務管理裡，把登入賬戶改成域中的msa-client賬戶，密碼留空。

系統會自動把它加到組策略的log on as a service的許可權表裡。並提示，新的登入名直到下次服務啟動後才生效。

但是，我發現這樣仍然不能啟動windows time服務。

經過查證，需要將這個賬戶加入generate security audit的使用者許可權分配中。根據不同的服務，系統會有不同的許可權要求，其它服務不一定需要這個許可權。新增完畢後，就能正常啟動windows time服務了。

如果要把服務改回local system account執行的時候，你會發現整個頁面都變灰了，無法修改。

這個時候就要用到傳統的sc命令了，雖然老，但是很有效。

重啟服務後，恢復原樣。

託管服務賬戶

託管服務引擎

託管服務引擎

WCF 服務託管

託管服務賬戶

託管服務引擎

託管服務引擎

WCF 服務託管

相關推薦