服务帐户循序渐进指南更新时间:2010年8月应用到:Windows7,WindowsServer2008R2在WindowsServer®2008R2和Windows®7中引入了两种新的帐户类型,即托管服务帐户和虚拟帐户,以便增强网络应用程序(如MicrosoftExchange和Internet信息服务(IIS))的服务隔离和可管理性。此循序渐进指南提供了有关如何在运行WindowsServer2008R2和Windows7的客户端计算机上设置和管理托管服务帐户和虚拟帐户的详细信息。本文档包括:托管服务帐户和虚拟帐户概念。托管服务帐户和虚拟帐户的客户端和域控制器支持要求。配置和管理托管服务帐户和虚拟帐户所需的工具。用于配置和管理托管服务帐户和虚拟帐户的步骤。使用虚拟帐户。对托管服务帐户和虚拟帐户问题进行疑难解答。用于托管服务帐户的应用程序编程接口(API)。托管服务帐户和虚拟帐户概念关键网络应用程序(如Exchange和IIS)面临的一项安全挑战是,选择让应用程序使用的适当帐户类型。在本地计算机上,管理员可以对应用程序进行配置,使其作为本地服务、网络服务或本地系统运行。这些服务帐户的配置和使用都很简单,但通常是在多个应用程序和服务间共享的,且无法在域级别上进行管理。如果将应用程序配置为使用域帐户,则可以分离该应用程序的权限,但需要手动管理密码或为管理这些密码创建自定义解决方案。许多服务器应用程序都使用此策略来增强安全性,但该策略要求增加管理工作和复杂性。在这些部署中,服务管理员将在任务维护方面花费大量的时间,如管理Kerberos身份验证所需的服务密码和服务主体名称(SPN)。此外,这些维护任务可能会中断服务。WindowsServer2008R2和Windows7中提供的这两种新帐户类型,即托管服务帐户和虚拟帐户,其设计目的在于为关键应用程序(如Exchange或IIS)提供分离其自身帐户的功能,同时使管理员无需手动管理这些帐户的SPN和凭据。WindowsServer2008R2和Windows7中的托管服务帐户是提供下列功能以简化服务管理的托管域帐户:自动密码管理。简化的SPN管理,包括委派其他管理员进行管理。在WindowsServer2008R2域功能级别可以使用其他自动SPN管理。有关详细信息,请参阅本文档中的“使用托管服务帐户和虚拟帐户的要求”。WindowsServer2008R2和Windows7中的虚拟帐户是提供下列功能以简化服务管理的“托管本地帐户”:不需要进行密码管理。能够使用域环境中的计算机标识访问网络。使用托管服务帐户和虚拟帐户的要求若要使用托管服务帐户和虚拟帐户,安装应用程序或服务的客户端计算机运行的必须是WindowsServer2008R2或Windows7。在WindowsServer2008R2和Windows7中,一个托管服务帐户可以用于单台计算机上的服务。无法在多台计算机之间共享托管服务帐户,也无法在多个群集节点复制某个服务的服务器群集中使用托管服务帐户。WindowsServer2008R2功能级别的域为自动密码管理和SPN管理提供本机支持。如果该域是在WindowsServer2003功能级别或WindowsServer2008功能级别运行,则将需要额外的配置步骤来支持托管服务帐户。这意味着:如果域位于WindowsServer2008R2功能级别,则可以简化托管服务帐户的SPN管理。具体而言,在下列四种情形中计算机上安装的所有托管服务帐户SPN的DNS部分都从oldname.domain-dns-suffix.com更改为newname.domain-dns-suffix.com:计算机的samaccountname属性发生更改。计算机的DNS名称属性发生更改。为计算机添加了samaccountname属性。为计算机添加了dns-host-name属性。如果域控制器位于运行WindowsServer2008或WindowsServer2003的计算机上但已将ActiveDirectory架构更新到WindowsServer2008R2来支持此功能,则可以使用托管服务帐户,并将自动管理服务帐户密码。但是,使用这些服务器操作系统的域管理员仍需手动为托管服务帐户配置SPN数据。若要在WindowsServer2008、WindowsServer2003或混合模式域环境中使用托管服务帐户,必须完成以下任务:1.在林级别运行adprep/forestprep。备注有关详细信息,请参阅Adprep。2.在要创建和使用托管服务帐户的每个域中运行adprep/domainprep。3.在域中部署运行以下操作系统之一的域控制器:WindowsServer2008R2...
