共計 2527 個字符，預計需要花費 7 分鐘才能閱讀完成。

Windows Server 2008 R2 中托管服務帳號的方法是什么呢，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面丸趣 TV 小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

在現代化的企業中，計算機網絡占據了重中之重的地位, 越來越多的企業核心業務依附于計算機網絡架構，例如：往來電子郵件，文件共享，即時通信等。而在網絡架構下，企業所部署的計算機操作系統、業務應用程序、后臺數據庫等各種應用系統的種類越來越多，網絡架構也越來越復雜，而應用系統正常運作，除了前臺的應用界面外，更重要的是后臺的進程或后臺的服務，有了后臺進程和服務的穩定運行，才能保證業務活動的正常進行。

后臺的進程和服務，都需要指定某一特定運行帳號，應該指定哪些帳號呢？我們可以從后臺服務的分類來探討：

第一類是操作系統自帶服務，例如 BITS 服務、DNS Client 服務等，他們的作用是為操作系統運行提供后臺支撐，在 Windows 操作系統下，我們知道有這么三個特殊帳號用以啟動此類服務，分別是：

SYSTEM 帳號：系統帳號。部分操作系統版本會識別為 Local System 帳號。由 System 帳號開啟的后臺進程，擁有對計算機 *** 的訪問權限，并可接收其他用戶的請求，并頒發訪問令牌等。

Local Service 帳號：本地服務帳號。是預設的擁有最小權限的本地賬戶，并在網絡憑證中具有匿名的身份。Local Service 賬戶通常可以訪問 Local Service、Everyone 組還有認證用戶有權限訪問的資源

Network Service 帳號：網絡服務帳號。是預設的擁有本機部分權限的本地賬戶，它能夠以計算機的名義訪問網絡資源。以 Network Service 賬戶運行的服務會根據實際環境把訪問憑據提交給遠程的計算機。Network Service 賬戶通常可以訪問 Network Service、Everyone 組，還有認證用戶有權限訪問的資源

第二類是業務應用系統服務，例如 SQL Server 服務，ERP 應用服務等，他們是為了滿足某一業務應用提供后臺支撐。一般我們需要指定某一域帳號來啟動此類服務，在微軟的活動目錄架構下，此帳號往往都是域帳號。而對于域帳號的密碼管理，每個企業都有自己的一套規范，

例如：某些企業可能要求域用戶的密碼：

密碼最小長度 7 位

最長 42 天更改密碼

不能使用最近三次使用過的密碼作為新密碼

顯然運行服務的域帳號也必須每 42 天更改一次密碼，一旦超過 42 天沒有更改，則原密碼過期，會造成服務無法正常運行。

對管理員來說，定期更改服務帳號的密碼是繁瑣的，且服務種類、帳號越多，更加難以管理。有些系統管理員為了管理方便，往往還會設置服務帳號為密碼永不過期。這樣雖然避免了定期更改密碼，減小了工作量，但是長期不更改密碼，增加了密碼泄露的風險。

而在 Windows Server 2008 R2 中的托管服務帳號（MSA）出現，解決了這一問題，他是如何實現的，我們來看看。

托管服務帳號

由于對運行的服務的域用戶賬號密碼管理起來較麻煩，因此托管服務帳號（Managed Service Account）應運而生。所謂托管服務帳號，也即委托給操作系統進行管理的帳號。托管服務帳號（MSA）的密碼由操作系統自動設定、維護，定期自動更新，并不需要管理員手工干預，對管理員來說，好像此帳號沒有密碼一樣。

托管服務帳號（MSA）的作用

托管服務賬號使得服務相互隔離，需要單獨進行自動密碼管理

減少服務中斷，從而降低 TCO

對于每服務或每服務器使用單一的托管服務賬號（服務賬號不能被多臺計算機共享）

在 Windows Server 2008 R2 域功能級別上能更好的進行 SPN 管理（允許服務器對服務賬號的重命名）

托管服務帳號（MSA）的使用

配置和應用托管服務帳號（MSA），需要進行三個步驟：

創建 MSA 帳號?安裝 MSA 帳號?為服務分配 MSA 帳號。

1. 創建 MSA 帳號：

MSA 帳號的創建需要通過 PowerShell 的 New-ADServiceAccount 命令創建，如下圖所示：

創建完成后，可以在 AD 用戶與計算機中看到剛才創建的 MSAtest 帳號。

2. 安裝 MSA 帳號

創建帳號完成之后，就可以進行 MSA 帳號的安裝操作了。在一臺 Windows Server 2008 R2 的成員服務器或 Windows 7 的客戶端計算機上安裝托管服務賬號，使用 PowerShell 中的 Install-ADServiceAccount 命令，需要注意的是：

注意：

1) 托管服務帳號（MSA）僅支持 Windows Server 2008 R2 或 Windows 7 的操作系統，對早期版本的操作系統，不做支持。

2) 一個托管服務帳號（MSA）僅能安裝到一臺計算機上，不能被多臺計算機共享。也即意味著 MSA 帳號并不支持群集服務。

3. 為服務分配 MSA 帳號

以 Windows Server 2008 R2 成員服務器為例。

首先打開服務控制管理器，展開配置 - 服務，在右側雙擊所需配置的服務，在登錄標簽頁下，選擇“此賬戶”-“瀏覽”，導航到之前創建的 MSA 帳號，點擊確定。使用該服務以選定 MSA 帳號運行，結果如下圖所示：

注意：

1) 默認情況下，后臺服務并不允許設置一個密碼為空的帳號來啟動，但唯獨 MSA 帳號例外，其實 MSA 帳號其實是有密碼的，但管理員無需設置而已。

托管服務帳號（MSA）的注意事項

使用托管服務帳號，大大簡化了企業內部服務帳號的管理工作，但也有一些注意事項。

賦予 MSA 合適的訪問權限是非常關鍵的

指派權限給 MSA 就像指派權限給一個用戶服務賬號

SCM 給 MSA 通過 logonAsService 賦予 local system 權限

安裝管理器不會讓你指定一個沒有密碼的賬戶

使用一個標準服務器賬號進行安裝

給一個 MSA 復制權限

在 SCM 中更改服務來使用 MSA

計劃作業不能以托管服務賬戶運行

因為 MSA 帳號只能安裝在一臺計算機上，不能被多臺計算機共享，所以托管服務賬號不能使用在群集服務中

如果域功能級別是 Windows Server 2008 R2, 服務賬號的 SPN 將會在服務賬號被重命名時更新。

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注丸趣 TV 行業資訊頻道，感謝您對丸趣 TV 的支持。