《服务帐户循序渐进指南2848.docx》由会员分享,可在线阅读,更多相关《服务帐户循序渐进指南2848.docx(21页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、服务帐户户循序渐渐进指南南更新时间间: 220100年8月月应用到: Wiindoows 7, Winndowws SServver 20008 RR2在 Wiindoows Serrverr 220088 R22 和 Winndowws 7 中中引入了了两种新新的帐户户类型,即即托管服服务帐户户和虚拟拟帐户,以以便增强强网络应应用程序序(如 Miccrossoftt Exxchaangee 和 Intternnet 信息服服务 (IISS))的的服务隔隔离和可可管理性性。此循序渐渐进指南南提供了了有关如如何在运运行 WWinddowss Seerveer 220088 R22 和 Winnd
2、owws 77 的客客户端计计算机上上设置和和管理托托管服务务帐户和和虚拟帐帐户的详详细信息息。本文文档包括括: 托管服务务帐户和和虚拟帐帐户概念念。 托管服务务帐户和和虚拟帐帐户的客客户端和和域控制制器支持持要求。 配置和管管理托管管服务帐帐户和虚虚拟帐户户所需的的工具。 用于配置置和管理理托管服服务帐户户和虚拟拟帐户的的步骤。 使用虚拟拟帐户。 对托管服服务帐户户和虚拟拟帐户问问题进行行疑难解解答。 用于托管管服务帐帐户的应应用程序序编程接接口 (APII)。托管服务务帐户和和虚拟帐帐户概念念关键网络络应用程程序(如如 Exxchaangee 和 IISS)面临临的一项项安全挑挑战是,选选
3、择让应应用程序序使用的的适当帐帐户类型型。在本地计计算机上上,管理理员可以以对应用用程序进进行配置置,使其其作为本本地服务务、网络络服务或或本地系系统运行行。这些些服务帐帐户的配配置和使使用都很很简单,但但通常是是在多个个应用程程序和服服务间共共享的,且且无法在在域级别别上进行行管理。如果将应应用程序序配置为为使用域域帐户,则则可以分分离该应应用程序序的权限限,但需需要手动动管理密密码或为为管理这这些密码码创建自自定义解解决方案案。许多多服务器器应用程程序都使使用此策策略来增增强安全全性,但但该策略略要求增增加管理理工作和和复杂性性。在这些部部署中,服服务管理理员将在在任务维维护方面面花费大大
4、量的时时间,如如管理 Kerrberros 身份验验证所需需的服务务密码和和服务主主体名称称 (SSPN)。此外外,这些些维护任任务可能能会中断断服务。Winddowss Seerveer 220088 R22 和 Winndowws 77 中提提供的这这两种新新帐户类类型,即即托管服服务帐户户和虚拟拟帐户,其其设计目目的在于于为关键键应用程程序(如如 Exxchaangee 或 IISS)提供供分离其其自身帐帐户的功功能,同同时使管管理员无无需手动动管理这这些帐户户的 SSPN 和凭据据。Winddowss Seerveer 220088 R22 和 Winndowws 77 中的的托管服服
5、务帐户户是提供供下列功功能以简简化服务务管理的的托管域域帐户: 自动密码码管理。 简化的 SPNN 管理理,包括括委派其其他管理理员进行行管理。在在 Wiindoows Serrverr 20008 R2 域功能能级别可可以使用用其他自自动 SSPN 管理。有有关详细细信息,请请参阅本本文档中中的“使使用托管管服务帐帐户和虚虚拟帐户户的要求求”。Winddowss Seerveer 220088 R22 和 Winndowws 77 中的的虚拟帐帐户是提提供下列列功能以以简化服服务管理理的“托托管本地地帐户”: 不需要进进行密码码管理。 能够使用用域环境境中的计计算机标标识访问问网络。使用托管
6、管服务帐帐户和虚虚拟帐户户的要求求若要使用用托管服服务帐户户和虚拟拟帐户,安安装应用用程序或或服务的的客户端端计算机机运行的的必须是是 Wiindoows Serrverr 20008 R2 或 WWinddowss 7。在在 Wiindoows Serrverr 20008 R2 和 WWinddowss 7 中,一一个托管管服务帐帐户可以以用于单单台计算算机上的的服务。无无法在多多台计算算机之间间共享托托管服务务帐户,也也无法在在多个群群集节点点复制某某个服务务的服务务器群集集中使用用托管服服务帐户户。Winddowss Seerveer 220088 R22 功能能级别的的域为自自动密码
7、码管理和和 SPPN 管管理提供供本机支支持。如如果该域域是在 Winndowws SServver 20003 功功能级别别或 WWinddowss Seerveer 220088 功能能级别运运行,则则将需要要额外的的配置步步骤来支支持托管管服务帐帐户。这这意味着着: 如果域位位于 WWinddowss Seerveer 220088 R22 功能能级别,则则可以简简化托管管服务帐帐户的 SPNN 管理理。具体体而言,在在下列四四种情形形中计算算机上安安装的所所有托管管服务帐帐户 SSPN 的 DDNS 部分都都从 ooldnnamee.doomaiin-ddns-sufffixx.coo
8、m 更更改为 newwnamme.ddomaain-dnss-suuffiix.ccom: 计算机的的 saamacccouuntnnamee 属性性发生更更改。 计算机的的 DNNS 名名称属性性发生更更改。 为计算机机添加了了 saamacccouuntnnamee 属性性。 为计算机机添加了了 dnns-hhostt-naame 属性。 如果域控控制器位位于运行行 Wiindoows Serrverr 20008 或 WWinddowss Seerveer 220033 的计计算机上上但已将将 Acctivve DDireectoory 架构更更新到 Winndowws SServver
9、 20008 RR2 来来支持此此功能,则则可以使使用托管管服务帐帐户,并并将自动动管理服服务帐户户密码。但但是,使使用这些些服务器器操作系系统的域域管理员员仍需手手动为托托管服务务帐户配配置 SSPN 数据。若要在 Winndowws SServver 20008、WWinddowss Seerveer 220033 或混混合模式式域环境境中使用用托管服服务帐户户,必须须完成以以下任务务:1. 在林级别别运行 adpprepp /fforeestpprepp。 备注 有关详细细信息,请请参阅 Adpprepp。 2. 在要创建建和使用用托管服服务帐户户的每个个域中运运行 aadprrep /
10、doomaiinprrep。3. 在域中部部署运行行以下操操作系统统之一的的域控制制器: Winddowss Seerveer 220088 R22 具有 AActiive Dirrecttoryy 管理理网关服服务的 Winndowws SServver 20008 具有 AActiive Dirrecttoryy 管理理网关服服务的 Winndowws SServver 20003备注 通过 AActiive Dirrecttoryy 管理理网关服服务,运运行 WWinddowss Seerveer 220033 或 Winndowws SServver 20008 的的域控制制器的管管理
11、员可可以使用用 Wiindoows PowwerSShelll ccmdllet 管理托托管服务务帐户。有有关 AActiive Dirrecttoryy 管理理网关服服务的详详细信息息,请参参阅 MMicrrosooft 下载中中心中的的 Acctivve DDireectoory 管理网网关服务务(Wiindoows Serrverr 20003 和 WWinddowss Seerveer 220088 的 Acttivee Diirecctorry WWeb 服务) ( AD DS 的新增功能:Active Directory Web 服务。 有关管理理 SPPN 的的详细信信息,请请参
12、阅服服务主体体名称(可可能为英英文网页页)。需要使用用下表中中的工具具配置和和管理托托管服务务帐户。工具 可用位置置 Winddowss PoowerrSheell 命令行行接口Winddowss Seerveer 220088 R22 和WWinddowss 7托管服务务帐户 cmddlettWinddowss Seerveer 220088 R22 和WWinddowss 7Dsaccls.exeeWinddowss Seerveer 220088 R22 和WWinddowss 7Insttalllutiil.eexeWinddowss Seerveer 220088 R22 和WWin
13、ddowss 7Sc.eexe 命令行行工具及及服务控控制管理理器 UUIWinddowss Seerveer 220088 R22 和WWinddowss 7服务管理理单元控控制台Winddowss Seerveer 220088 R22 和WWinddowss 7SetSSPN.exee从 htttp:/m/fwwlinnk/?LinnkIDD=4443211 下载载NTRiightts.eexe从 htttp:/m/fwwlinnk/?LinnkIdd=13303008 下下载重要事项项 尽管某些些版本的的 Acctivve DDireectoory 用户和和计算机机管理单单元允许许管理
14、员员创建新新的 mmsDSS-MaanaggedSServviceeAcccounnt 对对象,但但是使用用此管理理单元创创建的托托管服务务帐户将将缺少必必要的属属性。因因此,不不应该使使用该选选项创建建托管服服务帐户户。应仅仅使用 Winndowws PPoweerShhelll 来创创建托管管服务帐帐户。 在可以使使用托管管服务帐帐户 ccmdllet 之前,需需要在客客户端计计算机或或服务器器上安装装 .NNET Fraamewworkk 3.5x 及 Winndowws PPoweerShhelll 的 Acttivee Diirecctorry 模模块。在运行 Winndowws S
15、Servver 20008 RR2 的的计算机机上安装装 .NNET Fraamewworkk 及 Winndowws PPoweerShhelll 的 Acttivee Diirecctorry 模模块的步步骤1. 单击“开开始”,指指向“管管理工具具”,然然后单击击“服务务器管理理器”。2. 在“功能能”下,单单击“添添加功能能”。3. 在添加功功能向导导的“选选择功能能”页面面上,展展开“NNET Fraamewworkk 3.5.11 功能能”,然然后选择择 .NNET Fraamewworkk 3.5.11。4. 单击“下下一步”,然后单击“安装”。5. 展开“远远程服务务器管理理工
16、具”和“AD DS 和 AD LDS 工具”,然后选择“Active Directory PowerShell 管理单元”。6. 单击“下下一步”,然后单击“安装”。7. 安装完成成后,关关闭添加加功能向向导。在运行 Winndowws 77 的计计算机上上安装 .NEET FFrammewoork 及 WWinddowss PoowerrSheell 的 AActiive Dirrecttoryy 模块块的步骤骤1. 打开 WWeb 浏览器器,然后后从 hhttpp:/go.miccrossoftt.coom/ffwliink/?LiinkIId=11538874 将远程程服务器器管理工工具
17、下载载到硬盘盘上的某某个位置置。2. 双击下载载的文件件,并按按照说明明安装远远程服务务器管理理工具。3. 单击开开始,然然后单击击“控制制面板”。4. 依次单击击“程序序”、“程序序和功能能”,然然后在左左窗格中中单击“打打开或关关闭 WWinddowss 功能能”。5. 确认选择择 Miicroosofft .NETT Frrameeworrk 33.5.1。如如果没有有,请将将其选中中。6. 展开“远远程服务务器管理理工具”和“AD DS 和 AD LDS 工具”,然后选择“Active Directory PowerShell 管理单元”。7. 单击“确确定”。备注 如果必须须启用 .
18、NEET FFrammewoork,系系统将提提示您重重新启动动计算机机。 有关详细细信息,请请参阅 Winndowws PPoweerShhelll Cmmdleet 帮帮助(可可能为英英文网页页)。配置和管管理托管管服务帐帐户概述述以下部分分提供配配置和使使用托管管服务帐帐户的过过程。这这些过程程包括: 使用默认认的托管管服务帐帐户容器器创建和和使用托托管服务务帐户。 将服务帐帐户移动动到另一一台计算算机。 从用户帐帐户迁移移到托管管服务帐帐户。 重设托管管服务帐帐户的密密码。这些方案案承担两两个管理理角色: 域管理员员可以在在 Acctivve DDireectoory 域服务务 (AA
19、D DDS) 中创建建、管理理以及委委派对托托管服务务帐户的的管理。此此外,具具有创建建/删除除 mssDS-MannageedSeerviiceAAccoountt 权限限的任何何用户也也可以管管理这些些托管服服务帐户户。 服务管理理员在运运行 WWinddowss Seerveer 220088 R22 或 Winndowws 77 的计计算机上上安装和和管理这这些帐户户,其中中这些计计算机用用于运行行应用程程序或服服务。该该角色的的用户需需要是计计算机上上本地 Admminiistrratoors 组的成成员。Winddowss Seerveer 220088 R22 包括括设置和和管理
20、托托管服务务帐户所所需的所所有 WWinddowss PoowerrSheell cmddlett。可以使用用 Wiindoows PowwerSShelll ccmdllet 来创建建、读取取、更新新和删除除域控制制器上的的托管服服务帐户户。在 Winndowws SServver 20008 RR2 和和 Wiindoows 7 中中,没有有用于创创建和管管理这些些帐户的的用户界界面。在运行 Winndowws SServver 20008 RR2 或或 Wiindoows 7 的的计算机机上,服服务管理理员可以以使用 Winndowws PPoweerShhelll cmmdleet 安
21、安装和卸卸载这些些帐户以以及重设设这些帐帐户的密密码。安安装托管管服务帐帐户之后后,服务务管理员员可以配配置服务务或应用用程序使使用该帐帐户;不不再需要要指定或或更改这这些服务务的密码码,因为为这些帐帐户密码码将由计计算机自自动进行行维护。服服务管理理员将能能够在服服务帐户户上配置置 SPPN,而而无需域域管理员员权限。创建和使使用托管管服务帐帐户可以使用用以下过过程创建建和管理理托管服服务帐户户。导入 WWinddowss PoowerrSheell 的 AActiive Dirrecttoryy 模块块的步骤骤1. 依次单击击开始始、“所有有程序”和“Windows PowerShell
22、2.0”,然后单击“Windows PowerShell”图标。2. 运行下列列命令:Impportt-Moodulle AActiiveDDireectoory。创建新托托管服务务帐户的的步骤1. 在域控制制器上,单单击开开始,然然后单击击“运行行”。在在“打开开”框中中,键入入 dssa.mmsc,然然后单击击“确定定”打开开 Acctivve DDireectoory 用户和和计算机机管理单单元。确确认“托托管服务务帐户”容器存在。2. 依次单击击开始始、“所有有程序”和“Windows PowerShell 2.0”,然后单击“Windows PowerShell”图标。3. 运行下列
23、列命令:Neww-ADDSerrvicceAcccouunt -SSAMAAccoounttNamme -PPathh 。备注 可选参数数以方括括号 表表示,占占位符值值以尖括括号 表表示。 可以使用用 OttherrAtttribbutees 参参数在新新对象上上设置其其他属性性。还可可以使用用 Innstaancee 参数数基于定定义的模模板创建建新对象象。以下下附加参参数可以以与此 cmddlett 一起起使用:复制代码码 -OttherrAtttribbutees -Innstaancee -Seerveer -CCreddenttiall -PaassTThruu -Naame -D
24、esscriiptiion -DissplaayNaame -EEnabbledd -SeerviicePPrinncippalNNamees -AcccouuntEExpiirattionnDatte -AcccounntNootDeeleggateed -AcccounntPaasswwordd -AlllowwRevverssibllePaasswworddEnccrypptioon -CannnottChaangeePassswoord -Ceertiificcatees -ChhanggePaasswworddAtLLogoon -HommePaage -PassswoordNNev
25、eerExxpirres -PaasswworddNottReqquirred -PeermiitteedLoogonnTimme -PPrimmaryyGrooup 创建一个个或多个个托管服服务帐户户之后,可可能有必必要获得得有关这这些帐户户的信息息。在 ADD DSS 中获获取托管管服务帐帐户信息息的步骤骤1. 依次单击击开始始、“所有有程序”和“Windows PowerShell 2.0”,然后单击“Windows PowerShell”图标。2. 运行下列列命令:Gett-ADDSerrvicceAcccouunt -IIdenntitty -Serrverr -Crredeenti
26、ial -LDAAPFiilteer -FFiltter -WhaatIff Commmonn PoowerrSheell Parrameeterrs。如果在 AD DS 中已经经存在服服务帐户户,则可可以使用用以下 cmddlett 将该该服务帐帐户修改改为托管管服务帐帐户。在现有托托管服务务帐户上上设置属属性的步步骤1. 依次单击击开始始、“所有有程序”和“Windows PowerShell 2.0”,然后单击“Windows PowerShell”图标。2. 运行下列列命令:Sett-ADDSerrvicceAcccouunt -IIdenntitty 。如果某个个托管服服务帐户户将不
27、再再使用,您您可能希希望从 AD DS 中删除除该帐户户。从 ADD DSS 中删删除托管管服务帐帐户的步步骤1. 依次单击击开始始、“所有有程序”和“Windows PowerShell 2.0”,然后单击“Windows PowerShell”图标。2. 运行下列列命令:Remmovee-ADDSerrvicceAcccouunt -IIdenntitty -Parrtittionn -Coonfiirm -WhaatIff -PaassTThruu -Seerveer -CCreddenttiall Commmonn PoowerrSheell Parrameeterrs。本地管理理员或
28、服服务管理理员必须须在运行行托管应应用程序序的 WWinddowss Seerveer 220088 R22 或 Winndowws 77 的计计算机上上运行以以下 ccmdllet。第第一个 cmddlett 安装装托管服服务帐户户。在本地计计算机上上安装托托管服务务帐户的的步骤1. 依次单击击开始始、“所有有程序”和“Windows PowerShell 2.0”,然后单击“Windows PowerShell”图标。2. 运行下列列命令:Insstalll-AADSeerviiceAAccoountt -Ideentiity -Coonfiirm -WhaatIff -Crredeent
29、iial 。警告 帐户名称称属性必必须与安安全帐户户管理器器 (SSAM) 数据据库中的的帐户名名称匹配配。如果果帐户名名称属性性与对应应的 SSAM 帐户名名称不匹匹配,则则安装会会失败并并出现错错误 00xC0000002255。 以下步骤骤介绍如如何将服服务配置置为使用用托管服服务帐户户运行。可可以使用用“服务务”管理理单元控控制台 (Seerviicess.mssc) 或使用用 CrreatteSeerviice APII 完成成此任务务。使用“服服务”管管理单元元控制台台将服务务配置为为使用托托管服务务帐户的的步骤1. 单击开开始,指指向“管管理工具具”,然然后单击击“服务务”。2.
30、 系统要求求提供权权限时,单单击“继继续”。3. 右键单击击要使用用的服务务的名称称,然后后单击“属属性”。4. 依次单击击“登录录”选项项卡、“此此帐户”,然后采用 domainnameaccountname 格式键入托管服务帐户的名称,或单击“浏览”搜索此帐户。确认密码字段为空,然后单击“确定”。5. 选择服务务名称,然然后单击击“启动动服务”或“重新启动服务”。确认在服务的“登录身份”列中出现新配置的帐户名称。重要事项项 在“服务务”管理理单元控控制台中中,帐户户名称的的结尾必必须有美美元符号号 ($)。使使用“服服务”管管理单元元控制台台时,会会将 SSeSeerviiceLLogoo
31、nRiightt 登录录权限自自动分配配给此帐帐户。如如果使用用 Scc.exxe 工工具或 APII 配置置此帐户户,则必必须使用用“安全全策略”管管理单元元、Seeceddit.exee 或 NTRRighhts.exee 等工工具为此此帐户明明确授予予此权限限。 如果在此此计算机机上不再再使用托托管服务务帐户,则则本地管管理员可可能希望望从本地地计算机机卸载此此帐户。从本地计计算机卸卸载托管管服务帐帐户的步步骤1. 依次单击击开始始、“所有有程序”和“Windows PowerShell 2.0”,然后单击“Windows PowerShell”图标。2. 运行下列列命令:Uniinst
32、talll-ADDSerrvicceAcccouunt -IIdenntitty -Connfirrm -WWhattIf -Creedenntiaal 。尽管会基基于域的的密码重重设要求求定期重重设托管管服务帐帐户密码码,但如如有必要要,本地地管理员员仍然可可以手动动重设此此密码。为 Innterrnett 信息息服务配配置服务务帐户希望改进进 IIIS 应应用程序序隔离的的组织可可以将 IISS 应用用程序池池配置为为运行托托管服务务帐户。使用 IInteerneet 信信息服务务 (IIIS) 管理理器管理理单元将将服务配配置为使使用托管管服务帐帐户的步步骤 1. 单击开开始,指指向“管
33、管理工具具”,然然后单击击“Innterrnett 信息息服务(IISS)管理理器”。2. 依次双击击 、“应用用程序池池”,右右键单击击 ,然后后单击“高高级设置置”。3. 在“标识识”框中中,依次次单击 、“自定定义帐户户”,然然后单击击“设置置”。4. 采用 ddomaainnnameeacccouuntnnamee 格式式键入托托管服务务帐户的的名称。重要事项项 保留密码码为空,并并确保帐帐户名称称结尾具具有美元元符号 ($)。 5. 在“应用用程序池池任务”下,单击“停止”,然后单击“启动”。 委派托管管服务帐帐户管理理域管理员员可能希希望将服服务帐户户的管理理委派给给服务管管理员。
34、在在 ADD DSS 中没没有用于于委派管管理的 Winndowws PPoweerShhelll cmmdleet。因因此,可可以使用用如 DDsaccls.exee 这样样的工具具将服务务帐户的的管理委委派给服服务管理理员。委派的服服务管理理员必须须具有以以下权限限: 删除 读取 列出内容容 读取属性性 列出对象象 控制访问问 帐户限制制的 WWritte_pproppertty 登录信息息的 WWritte_pproppertty 描述的 Wriite_prooperrty dispplayyNamme 的的 Wrritee_prropeertyy 验证写入入到 DDNS 主机名名的 W
35、Writte_sselff 验证写入入服务主主体名称称的 WWritte_sselff以下过程程包括一一个示例例 Dssaclls 脚脚本,该该脚本说说明如何何为托管管服务帐帐户配置置委派的的权限。在 ADD DSS 中委委派服务务帐户管管理的步步骤1. 打开命令令提示符符窗口。2. 运行以下下 Dssaclls 脚脚本(将将 coorpnnet 和 cconttosoo 替换换为您自自己的网网络名称称):ddsaccls CNN=svvcaccc1,CN=Mannageed SServvicee Acccouuntss,DCC=,DDC=,DC= /GG SerrvicceAddminn:S
36、DDRCLLCRPPLOCCA SServviceeAdmmin:WP;Loggon Infformmatiion SerrvicceAddminn:WPP;Deescrripttionn SeerviiceAAdmiin:WWP;DDispplayyNamme SServviceeAdmmin:WP;Acccounnt RResttricctioons SerrvicceAddminn:WSS;Vaaliddateed wwritte tto DDNS hosst nnamee SeerviiceAAdmiin:WWS;VValiidatted wriite to serrvicce ppr
37、inncippal namme。备注 有关详细细信息,请请参阅 Dsaaclss(可能能为英文文网页)。 在单独的的 OUU 中创创建和使使用托管管服务帐帐户在单独的的组织单单位 (OU) 中创创建和使使用托管管服务帐帐户的过过程与第第一个方方案类似似。不同同之处在在于,很很多组织织将希望望创建一一个新 OU,以以便通过过域的其其他用户户、计算算机以及及特殊帐帐户单独独管理托托管服务务帐户。有关创建建和管理理 OUU 的详详细信息息,请参参阅管理理组织单单位(可可能为英英文网页页)。在单独的的 OUU 中创创建和使使用托管管服务帐帐户以及及将 OOU 的的管理委委派给服服务管理理员在单独的的
38、OUU 中创创建和使使用托管管服务帐帐户的过过程与第第一个方方案和第第二个方方案类似似。不同同之处在在于,您您可能希希望在继继续执行行其他任任务之前前委派新新 OUU 的管管理。有关详细细信息,请请参阅委委派对组组织单位位的控制制(可能能为英文文网页)。将托管服服务帐户户移动到到另一台台计算机机诸如 IIIS 和 EExchhangge 之之类的应应用程序序对于其其组织和和用户来来说非常常重要。因因此,很很多组织织优先在在最新、最最可靠的的硬件上上维护这这些服务务。这意意味着管管理员必必须认真真计划将将这些服服务从一一台计算算机移动动到另一一台计算算机。以下步骤骤将帮助助您将依依赖托管管服务帐
39、帐户的关关键服务务从一台台计算机机移动到到另一台台计算机机。所有有这些步步骤都可可以由本本地计算算机上的的服务管管理员执执行。将托管服服务帐户户从一台台计算机机移动到到另一台台计算机机的步骤骤1. 在第一台台计算机机上,依依次单击击开始始、“所有有程序”和 Windows PowerShell 2.0,然后单击 Windows PowerShell 图标。2. 运行以下下 Wiindoows PowwerSShelll ccmdllet:Uniinsttalll-ADDSerrvicceAcccouunt。 3. 在第二台台计算机机上,依依次单击击开始始、“所有有程序”和 Windows Po
40、werShell 2.0,然后单击 Windows PowerShell 图标。4. 运行以下下 Wiindoows PowwerSShelll ccmdllet:Insstalll-AADSeerviiceAAccoountt。5. 使用“服服务”管管理单元元控制台台将服务务配置为为使用托托管服务务帐户运运行。将服务从从用户帐帐户迁移移到托管管服务帐帐户 一些组织织将应用用程序配配置为使使用特殊殊用户帐帐户,以以便他们们可以对对一个或或多个资资源文件件(如数数据库)设设置受限限制的访访问权限限。如果果您要将将关键服服务从这这种类型型的用户户帐户移移动到托托管服务务帐户,还还需要更更新这些些访
41、问控控制设置置。将服务从从用户帐帐户迁移移到托管管服务帐帐户的步步骤1. 如有必要要,域管管理员在在 ADD DSS 中使使用 WWinddowss PoowerrSheell cmddlett Neew-AADSeerviiceAAccoountt 创建建一个新新的托管管服务帐帐户。2. 服务管理理员使用用 Wiindoows PowwerSShelll ccmdllet Insstalll-AADSeerviiceAAccoountt 在本本地计算算机上安安装托管管服务帐帐户。3. 服务管理理员将服服务配置置为使用用托管服服务帐户户运行。4. 服务管理理员为服服务管理理帐户配配置对服服务资
42、源源的访问问控制列列表。有有关详细细信息,请请参阅清清单:设设置对对对象的访访问控制制(可能能为英文文网页)。从一个托托管服务务帐户迁迁移到另另一个托托管服务务帐户该方案与与上一个个方案类类似,但但它涉及及两个托托管服务务帐户,而而不是一一个托管管服务帐帐户和一一个用户户帐户。重设托管管服务帐帐户的密密码即使使用用自动密密码管理理,有时时也需要要手动重重设托管管服务帐帐户的密密码。重设托管管服务帐帐户密码码的步骤骤1. 依次单击击开始始、“所有有程序”和“Windows PowerShell 2.0”,然后单击“Windows PowerShell”图标。2. 运行下列列命令:Resset-A
43、DSServviceeAcccounntPaasswwordd -Ideentiity -Crredeentiial -Serrverr 。重要事项项 可以使用用“本地地策略安全选选项”下下的域策策略“域域成员: 计算算机帐户户密码最最长使用用期限”修修改托管管服务帐帐户的默默认密码码更改间间隔。但但是,在在“帐户户策略密码策策略”下下没有组组策略设设置可用用于修改改托管服服务帐户户密码重重设间隔隔。此外外,尽管管可以使使用命令令 NLLTESST /SC_CHAANGEE_PWWD: 重置计计算机帐帐户密码码,但它它不能用用于重置置托管服服务帐户户密码。有有关管理理密码的的详细信信息,请请参阅 严格的的密码和和帐户锁锁定策略略配置循循序渐进进指南。 使用虚拟拟帐户虚拟帐户户需要进进行的管管理非常常少。无无法创建建或删除除虚拟帐帐户,它它们也不不需要进进行任何何密码管管理。您必须是是本地计计算机上上 Addminnisttrattorss 组的的成员,才才能执行行以下过过程。将服务配配置为使使用虚拟拟帐户的的步骤1. 单击开开始,指指向“管管理工具具”,然然后单击击“服务务”。2. 右键单击击详细信信息窗格格中要配配置的服服务,然然后单击击“属性性”。3. 依次单击击“登录录”选项项卡、“此