《服务帐户循序渐进指南.docx》由会员分享,可在线阅读,更多相关《服务帐户循序渐进指南.docx(14页珍藏版)》请在课桌文档上搜索。
1、服务帐户循序渐进指南更新时间:2010年8月应用到:WindORs7,WindowsServer2008R2在WindowsServer2008R2与Windowse7中引入了两种新的帐户类型,即托管服务帐户与虚拟帐户,以便增强网络应用程序(如MicrosoftExchange与Internet信息服务(IIS)的服务隔离与可管理性。此循序渐进指南提供了有关如何在运行WindOWSServer2008R2与Windows7的客户端计算机上设置与管理托管服务帐户与虚拟帐户的全面信息。本文档包含: 托管服务帐户与虚拟帐户概念。 托管服务帐户与虚拟帐户的客户端与域操纵器支持要求。 配置与管理托管服务
2、帐户与虚拟帐户所需的工具。 用于配置与管理托管服务帐户与虚拟帐户的步骤。 使用虚拟帐户。 对托管服务帐户与虚拟帐户问题进行疑难解答。 用于托管服务帐户的应用程序编程接口(API)e托管服务帐户与虚拟帐户概念关键网络应用程序(如Exchange与1IS)面临的一项安全挑战是,选择让应用程序使用的适当帐户类型。在本地计算机上,管理员能够对应用程序进行配置,使其作为本地服务、网络服务或者本地系统运行。这些服务帐户的配置与使用都很简单,但通常是在多个应用程序与服务间共享的,且无法在域级别上进行管理.假如将应用程序配置为使用域帐户,则能够分离该应用程序的权限,但需要手动管理密码或者为管理这些密码创建自定
3、义解决方案。许多服务器应用程序都使用此策略来增强安全性,但该策略要求增加管理工作与复杂性。在这些部署中,服务管理员将在任务保护方面花费大量的时间,如管理Kerberos身份验证所褥的服务密码与服务主体名称(SPN)e此外,这些保护任务可能会中断服务。WindowsServer2008R2与Windows7中提供的这两种新帐户类型,即托管服务帐户与虚拟帐户,其设计目的在于为关键应用程序(如Exchange或者IlS)提供分离其自身帐户的功能,同时使管理员无需手动管理这些帐户的SPN与凭据。WindowsServer2008R2与Windows7中的托管服务帐户是提供下列功能以简化服务管理的托管域
4、帐户:自动密码管理。 简化的SPN管理,包含委派其他管理员进行管理。在WindowsServer2008R2域功能级别能够使用其他自动SPN管理。有关全面信息,请参阅本文档中的“使用托管服务帐户与虚拟帐户的要求”。WindowsServer2008R2与Windows7中的虚拟帐户是提供下列功能以简化服务管理的“托管本地帐户”: 不需要进行密码管理。 能够使用域环境中的计算机标识访问网络。使用托管服务帐户与虚拟帐户的要求若要使用托管服务帐户与虚拟帐户,安装应用程序或者服务的客户端计算机运行的务必是WindowsServer2008R2或者WindOWS7。在WindowsServer2008R
5、2与Windows7中,一个托管服务帐户能够用于单台计算机上的服务。无法在多台计算机之间共享托管服务帐户,也无法在多个群集节点复制某个服务的服务器群集中使用托管服务帐户。WindowsServer2008R2功能级别的域为自动密码管理与SPN管理提供本机支持。假如该域是在WindowsServer2003功能级别或者WindowsServer2008功能级别运行,则将需要额外的配置步骤来支持托管服务帐户。这意味着: 计算机的Samaccountname属性发生更换。 计算机的DNS名称属性发生更换。 为计算机添加了Samaccountname屈性。 为计算机添加了dns-host-name属性
6、。假如域操纵器位于运行WindowsServer2008或者WindOWSServer2003的计算机上但已将ActiveDirectory架构更新到WindowsServer2008R2来支持此功能,则能够使用托管服务帐户,并将自动管理服务帐户密码。但是,使用这些服务器操作系统的域管埋员仍需手动为托管服务帐户配置SPN数据。若要在WindowsServer2008、WindowsServer2003或者混合模式域环境中使用托管服务帐户,务必完成下列任务:1 .在林级别运行adprep/fOrestprep彳备注2 .在要创建与使用托管服务帐户的蜉个域中运行adprepdainprp3 .在城
7、中部署运行下列操作系统之一的域操纵器:WindowsServer2008R2 具有ActiveDirectory管理网关服务的WindowsServer2008 具有ActiveDirectory管理网关服务的WindowsServer2003彳备注需要使用下表中的工具配置与管理托管服务帐户。工具可用位置WindowsPowerShell命令行接口WindowsServer2008R2与Windows7托管服务帐户CmdletWindowsServer2008R2与WindoWS7Dsacls.exeWindowsServer2008R2与Windows7Installutil.exeWind
8、owsServer2008R2与Windows7Sc.exe命令行工具及服务操纵管理器UIWindowsServer2008R2与Windows7服务管理单元操纵台WindowsServer2008R2与Windows7SetSPN.exeNTRights.exe。就要事项尽管某些版本的ActiveDirectory用户与计算机管理单元同意管理员创建新的OisDS-ManagedServiCeAccount对象,但是使用此管理单元创建的托管服务帐户将缺少必要的属性。因此,不应该使用该选项创建托管服务帐户。应仅使用WindowsPowerShell来创建托管服务帐户。在能够使用托管服务帐户Cmd
9、let之前,需要在客户端计算机或者服务器上安装NETFramework3.5*及WindowsPowerShell的ActiveDirectory模块。在运行WindowsServer2008R2的计算机上安装.NETFramework及WindowsPoverShell的ActiveDirectory模块的步骤1 .单击“开始”,指向“管理工具,然后单击.,服务器管理器”2 .在“功能”下,单击“添加功能”3 .在添加功能向导的“选择功能”页面上,展开“NETFraaework3.5.1功能”,然后选择.NETFramework3.5.14 .单击“下一步”,然后单击“安装”5 .展开“远程
10、朦务器管理工具”与ADDS与ADLDS工具”,然后选择“ActiveDirectoryPowerShell管理单元6 .单击“下一步”,然后单击“安装”7 .安装完成后,关闭添加功能向导。在运行Windows7的计算机上安装.NETFranework及WindowsPowerShell的ActiveDirectory模块的步骤1 .双击下载的文件,并按照说明安装远程服务器管理工具。2 .单击开始,然后单击“操纵面板”3 .依次单击“程序”.“程序与功能”.然后在左窗格中单击“打开或者关闭Windows功能”4 .确认选择Microsoft.NETFraaework3.5.1假如没有,请将其选中
11、。5 .展开“远程JK务器管理工具”与“ADDS与ADLDS工具”,然后选择*ActiveDirectoryPowerShell管理单元”6 .单在“确定”彳备注假如务必启用.NETFramework,系统将提示您重新启动计算机。配置与管理托管服务帐户概述下列部分提供配置与使用托管服务帐户的过程.这些过程包含: 使用默认的托管服务帐户容器创建与使用托管服务帐户。 将服务帐户移动到另一台计算机。 从用户帐户迁移到托管服务帐户。 重设托管服务帐户的密码。这些方案承担两个管理角色: 域管理员能够在ActiveDirectory域服务(ADDS)中创建、管理与委派对托管服务帐户的管理。此外,具仃创建/
12、删除BsDS-ManagedServiceAccount权限的任何用户也能够管理这些托管服务帐户。 服务管理员在运行WindowsServer2008R2或者Windows7的计算机上安装与管理这些帐户,其中这些计算机用于运行应用程序或者服务。该角色的用户需要是计算机上本地Adninistrators组的成员。WindowsServer2008R2包含设置与管理托管服务帐户所需的所有WindowsPowerShclICmdIeto能够使用WindowsPowerShel1cmdlet来创建、读取、更新与删除域操纵器上的托管服务帐户。在WindowsServer2008R2与Windows7中,
13、没有用于创建与管理这些帐户的用户界面。在运行WindowsServer2008R2或者Windows7的计算机上,服务管理员能够使用WindowsPowerShellcmdlet安装与卸载这些帐户与重设这些帐户的密码。安装托管服务帐户之后,服务管理员能够配置服务或者应用程序使用该帐户:不再需要指定或者更换这些服务的密码,由于这些帐户密码将由计算机自动进行保护。服务管理员将能够在服务帐户上配置SPN,而无需域管理员权限。创建与使用托管服务帐户能够使用下列过程创建与管理托管服务帐户。导入WindowsPoverShell的ActiveDirectory模块的步骤1 .依次单击开始、所有程序”与*W
14、indowsPowerShell2.0*,然后单击“宵indowsPowerShell*图标。2 .运行下列命令:Import-ModUleActiveDirectory创建新托管服务帐户的步骡1 .在域操纵器上,服击开始J,然后雌击“运行”。在“打开”框中,键入dsa.msc,然后总击“确定”打开ActiveDirectory用户与计算机管理单元。确认“托管服务帐户,容器存在。2 .依次单击开始、所有程序lv*WindosPowerShell2.0*.然后单击“胃indowsPowerShell”图标。3 .运行下列命令:New-ADserviceAccount-SAMAccountNaae
15、-Path:彳备注可选参数以方括号表示,占位符值以尖括号表示。能够使用OtherAttribUteS参数在新对象上设置其他属性。还能够使用Instance参数基于定义的模板创建新对象。下列附加参数能够与此cmdlet一起使用:复制代码-OtherAttributesHashtable*-Instance-ServerString*-Credential-PassThru-NameString”-DescriptionString”-DisplayName-Enabled-ServicePrincipalNames-AccountExpirationDate-AccountNotDelegate
16、d-AccountPassword-AllowReversiblepasswordEncryption-CannotChangePassword-CertificatesString八-ChangePasswordAtLogon-HomePage-PasswordNeverExpires-PasswordNotRequired-PermittedLogonTimeString八-PrimaryGroup创建一个或者多个托管服务帐户之后,可能有必要获得有关这些帐户的信息。在ADDS中获取托管服务帐户信息的步骤1. 依次内击!开始、“所有程序”与“WindowsPowerShell2.0”,然后服
17、击“ITindgsPowerShen”图标。2. 运行下列命令:Get-ADServiceAccount-Identity-Server-Credential-LDAPFilter-Filter-WhatIfCononPowerShellParameters.假如在ADDS中已经存在服务帐户,则能够使用下列Cmdlet将该服务帐户修改为托管服务帐户。在现有托管服务帐户上设置属性的步骤1. 依次单击C开始、0所有程序”与aWindowsPorerShell2.Ow,然后单击“ITindgsPgerShelV图标。2. 运行下列命令:Set-ADSrviceAccount-Identity假如某个
18、托管服务帐户将不再使用,您可能希望从ADDS中删除该帐户。从ADDS中删除托管服务帐户的步骤1. 依次单击!1开始、“所有程序”与WindgsPBerShell2.0”.然后单击“WindowsPowerShell”图标。2. 运行下列命令:Renove-ADServiceAccount-Identity-Partition-Confim-WhatIf-PassThru-Server-CredentialQnmonPowerShellParameters本地管理员或者服务管理员务必在运行托管应用程序的WindowsServer2008R2或者Windows7的计算机上运行下列cmdlet第一个
19、cdlet安装托管服务帐户。在本地计算机上安装托管服务帐户的步充1. 依次单击!开始、“所有程序”与wWindowsPowerShell2.Ow,然后单击“WindowsPowerShell”图标。2. 运行下列命令:Install-ADServiceAccount-Identity-Confind-WhatIf-CredentialG警告帐户名称属性务必与安全帐户管理器(SAM)数据库中的帐户名称匹配。假如帐户名称属性与对应的SAM帐户名称不匹配,则安装会失败并出现错误OXCOoOO225。下列步骤介绍如何揩服务配置为使用托管服务帐户运行。能够使用“服务”管理单元操纵台(Services.m
20、sc)或者使用CreateServiceAPI完成此任务。使用“服务”管理单油纵台将服务配置为使用托管眼务帐户的步骤1 .单击开始,指向“管理工具”,然后单击“服务”2 .系统要求提供权限时,单击“继续”3 .右键单击要使用的服务的名称,然后单击“属性”4 .依次城击“登录”选项卡、“此帐户”,然后使用domainnameXaccountname格式键入托管服务帐户的名称,或者单击“浏览”搜索此帐户,确认密码字段为空,然后单击确定”5 .选择服务名称,然后单击“启动服务”或者“重新启动服务”确认在服务的“登录身份”列中出现新配置的帐户名称。重要事项在“服务”管理单元操纵台中,帐户名称的结尾务必
21、有美元符号($)o使用“服务”管理单元操纵分时,会将SeServiceLogonRight登录权限自动分配给此帐户。假如使用Saexe工具或者API配置此帐户,则务必使用“安全策略”管理单元、Secedit.exe或者NTRights.exe等工具为此帐户明确授予此权限。假如在此计算机上不再使用托管服务帐户,则木地管理员可能希望从本地计算机卸载此帐户。从本地计算机卸载托管服务帐户的步骤1 .依次中击开始、“所有程序”与*WindwsPowerShell2.0*.然后服击“WindowsPowerShell”图标。2 .运行下列命令:Uninstall-ADserviceAccount-Iden
22、tity-Confirm-IhatIf-Credential尽管会基于域的密码重设要求定期重设托管服务帐户密内,但如有必要,本地管理员仍然能够手动重设此密码。为Internet信息服务配置服务帐户看望改进IIS应用程序隔离的组织能够将IlS应用程序池配置为运行托管服务帐户。使用Internet信息服务(IIS)管理器管理单元将服务配置为使用托管服务帐户的步骤1 .单击开始,指向管理工具”,然后单击-Internet信息服务(IIS)管理器”2 .依次双击计算机名称、“应用程序池”,右键单击池名称M然后单击“高级设置”3 .在“标识”框中,依次单击、“自定义帐户”,然后单击“设4 .使用dome
23、innameIaccountname格式键入托管服务帐户的名称。d重要事项保留密码为空,并确保帐户名称结尾具有美元符号($)o5 .在“应用程序池任务”下,单击“停止”,然后单击“启动”委派托管服务帐户管理域管理员可能希望将服务帐户的管理委派给服务管理员。在ADDS中没有用于委派管理的WindowsPowerShellcmdleto因此,能够使用如Dsacls.exe这样的工具将服务帐户的管理委派给服务管理员。委派的服务管理员务必具有下列权限: 删除 读取 列出内容 读取属性 列出对象 操纵访问 帐户限制的Writeproperty 登录信息的Write.property 描述的Write_p
24、roperty dispIayName的Write_property验证写入到DNS主机名的Write_Self验证写入服务主体名称的Write_self下列过程包含一个示例Dsacls脚本,该脚本说明如何为托管服务帐户配置委派的权限。在ADDS中委派服务帐户管理的步骤1 .打开命令提示符窗口。2 .运行下列Dsacls脚本(将Corpnet与contoso替换为您自己的网络名称):dsacls*CN=svcaccl,CN=ManagedServiceAccounts,DC=,DC=,DC=/G*ServiceAdin:SDRCLCRPLOCA*ServiceAdin:IP;LogonInfo
25、naation*ServiceAdin:WP!Description*SrviceAdin:WP;DisplayNa*ServiceAdin:WP;AccountRestrictions*XServiceAdnin:IS;ValidatedwritetoDNShostname*SrvicAdin:IS;Validatedwritetoserviceprincipalname*彳备注在单独的OU中创建与使用托管服务帐户在单独的组织单位(OU)中创建与使用托管服务帐户的过程与第一个方案类似。不一致之处在于,很多组织将希望创建一个新OU,以便通过域的其他用户、计算机与特殊帐户单独管理托管服务帐户。在
26、单独的OU中创建与使用托管服务帐户与将OU的管理委派给服务管理员在刺独的OU中创建与使用托管服务帐户的过程与第一个方案与第二个方案类似.不一致之处在于,您可能希望在维埃执行其他任务之前委派新OU的管理。将托管服务帐户移动到另一台计算机诸如IlS与Exchange之类的应用程序关于其组织与用户来说非常重要。因此,很多组织优先在最新、最可靠的硬件上保护这些服务。这意味着管理员务必认真计划将这些服务从一台计算机移动到另一台计算机。下列步骤将招助您将依靠托管服务帐户的关键服务从一台计算机移动到另一台计算机。所有这些步骤都能够由本地计算机上的服务管理员执行。将托管服务帐户从一台计算机移动到另一台计算机的
27、步骡1. 在第一台计算机上,依次单击开始、“所有程序”与WindowsPowerShell2.0.然后单出WindgSPowerShell图标。2. 运行下列WindowsPowerShellcmdlet:Uninstall-ADserviceAccount3. 在第二台计算机上,依次或击开始、“所有程序”与WindowsPowerShell2.0,然后雅击Wind”8PoverShell图标。4. 运行下歹JWindowsPowerShellcmdlet:Instal1-ADServiceAccount:5. 使用“服务”管理单元操纵台将服务配置为使用托管服务帐户运行。将服务从用户帐户迁移到
28、托管服务帐户一些组织将应用程序配置为使用特殊用户帐户,以便他们能够对一个或者多个资源文件(如数据库)设置受限制的访问权限。假如您要将关键服务从这种类型的用户帐户移动到托管服务帐户,还需要更新这些访问操纵设置。将服务从用户帐户迁移到托管服务帐户的步骤1. 如有必要,域管理员在DDS中使用WindowsPowerShellcndle:Neir-ADSerViCeACCoUnt创建一个新的托管服务帐户.2. 服务管理员使用WindowsPowerShel1cmdletInstal1-ADServiceAccount在本地计算机上安装托管服务帐户。3. 服务管理员将服务配置为使用托管服务帐户运行。从一
29、个托管服务帐户迁移到另一个托管服务帐户该方案与上一个方案类似,但它涉及两个托管服务帐户,而不是一个托管服务帐户与一个用户帐户。重设托管服务帐户的密码即使使用自动密码管理,有的时候也需要手动重设托管服务帐户的密码。重设托管服务帐户密码的步骤1 .依次巾击开始、所有程序”与aWindowsPowerShell2.0.然后IVi击WindowsPowerShell*图标。2 .运行下列命令:Reset-ADserviceAccountPassword-Identity-Credential-Server:。黛要事项使用虚拟帐户虚拟帐户需要进行的管理非常少.无法创建或者删除虚拟帐户,它们也不需要进行任
30、何密码管理。您务必是本地计算机上AdlliniStratOr8组的成员,才能执行下列过程。将服务配置为使用虚拟帐户的步源1 .单击开始,指向“管理工具”,然后单击“服务”2 .右键单击全面信息窗格中要配置的服务,然后单击“属性”3 .依次内击“登录”选项卡、“此帐户”,然后键入NTSERVlcESHCaWma完成操作后,单击“确定”4 .垂新启动此服务以使更换生效。希望改进IlS的服务隔离的组织能够将IlS应用程序池配置为使用虚拟帐户运行。您务必是本地计算机上AdBiniStratom组的成员,才能执行下列过程。将IlS应用程序池配置为使用虚拟帐户的步骤1 .单击开始,指向“管理工具”,然后单
31、击Tnternet信息服务(HS)管理器”2 .兴次双击计新机名称、“应用程序池”,右键单击池名称,然后单击“高级设置”:3 .在标识”框中,单击APPIiCationPOOlldentity。7注在WindowsServer2008R2与Windows7中,默认情况下IIS应用程序池在ApplicationPoolIdentity下运行。4 .在“应用程序池任务”下,单击“停止”,然后单击“启动”用于托管服务帐户的API下列是托管服务帐户可公开获得的API及其行为。您务必是本地Adninistrators组的成员才能使用这些APKNetAddserviceAccount使用NetAddser
32、viceAccountAPI来创建托管服务帐户。语法复制代码NTSTATUSWinapiNetAddSerViCeACeoUnt(_in_optLPWSTRServerName,_inLPWSTRAccountName,_inLPWSTRReserved,_inDWORDFlags);参数有下列参数可供选择。参数描述ServerNamein,optional此API当前仅位于木地。该参数应始终为NULL.AccountNamcin要创建的帐户的名称。Reservedin保留。不使用.FlagsinSERVICEACCOUNTFLAGLINKTOHOSTONLY0x0000000IL不创建任何服
33、务帐户。假如已存在具有指定名称的服务帐户,则会将它链接到本地计算机。NetRenoveserviceAccount该函数从ActiveDirectory数据库中删除指定的服务帐户。删除存储在本地安全机构(LSA)中的机密,同时将状态存储在Netlogon注册表存储中。语法豆制代码NTSTATUSWinapiNetRenIOVeSerViCeACCoUnt(_in_optLPWSTRServerName,_inLPWSTRAccountName,_inDWORDFlags);参数有下列参数可供选择。参数描述ServerNamein,optional此APl当前仅位于本地。该参数应始终为NULL-
34、AccountNamein要删除的帐户的名称。ElagsinSERVICE_ACCOUNT_ILAG_UNL1NK_FROM_HOST_ONLY0x0000000IL从本地计算机中删除服务帐户对象,同时删除存储在LSA中的机密。不可能从ActiveDirectory数据库中删除服务帐户对象。返回值假如函数成功,它将返回STATUS.SUCCESS。假如函数失败,它将返回错误代码。NetlsserviceAccount该函数测试指定的服务帐户是否位于指定服务器上的Netlogon存储中。语法复制代码NTSTATUSWinapiNetISSerViCeACCOUnt(_in_optLPWSTRSe
35、rverName,_inLPWSTRAccountName,outBOOL*1SSerViCe);参数有下列参数可供选择。参数描述ServerNamein,optional此API当前仅位于本地。该参数应始终为NULL,AccountNamein要测试的帐户的名称。IsServiceout假如指定的服务帐户位于指定服务器上,则为TRUE,否则为FALSE.返回值假如函数成功,它将返回STATUS.SUCCESS。假如函数失败,它将返回错误代码。NetEnimerateserviceAccounts该函数枚举指定服务器上的服务器帐户。语法复制代码NTSTATUSWINAPINetEnumerat
36、eserviceAccounts(_in_optLPWSTRServerName,_inDWORDFlags,_outDWORD*AccountsCount,_outPZPWSTR*Accounts);一参数有下列参数可供选择参数描述ServerNamein,此API当前仅位于本地。该参数应始终为NULL.optionalFlagsin保留。不使用。该值务必为oAccountsCountoutAccounts数组中元素的数量。Accountsout指向指定服务器上服务帐户名称数组的指针。调用方务必使用NctAPIBufferFree释放缓冲区。返回值假如函数成功,它将返回STATUSSUCCE
37、SSe假如函数失败,它将返回错误代码。对托管服务帐户进行疑难解答假如服务未使用托管服务帐户启动,请使用下列步骤解决此问题。解决阻止与托管服务帐户关联的服务总动的问题的步骤1. 运行下列WindowsPowerShell命令以确认托管服务帐户位于ADDS中并已启用:Get-ADserviceAccount-Identity-Server-Credential-LDAPFilter-Filter-WhatIfCoononPowerShellParameters2. 确认服务帐户名称以美元符号($)结尾。3. 运行下列WindowsPowerShell命令以确认计算机上安装了此帐户:Install-ADServiceAccount-Identity-Confir-WhatIf-Credential4. 使用NTRights.cxesSecedit,exe或者本地安全策略管理单元(sccpol.msc)确认帐户具有SeServiceLogonRight登录权限。下列命令说明如何使用NTRights.exe执行此操作:NTRights+rSeServiceLogonRight-U帐户名称
