在現(xiàn)代化的企業(yè)中，計(jì)算機(jī)網(wǎng)絡(luò)占據(jù)了重中之重的地位,越來越多的企業(yè)核心業(yè)務(wù)依附于計(jì)算機(jī)網(wǎng)絡(luò)架構(gòu)，例如：往來電子郵件，文件共享，即時(shí)通信等。而在網(wǎng)絡(luò)架構(gòu)下，企業(yè)所部署的計(jì)算機(jī)操作系統(tǒng)、業(yè)務(wù)應(yīng)用程序、后臺(tái)數(shù)據(jù)庫(kù)等各種應(yīng)用系統(tǒng)的種類越來越多，網(wǎng)絡(luò)架構(gòu)也越來越復(fù)雜，而應(yīng)用系統(tǒng)正常運(yùn)作，除了前臺(tái)的應(yīng)用界面外，更重要的是后臺(tái)的進(jìn)程或后臺(tái)的服務(wù)，有了后臺(tái)進(jìn)程和服務(wù)的穩(wěn)定運(yùn)行，才能保證業(yè)務(wù)活動(dòng)的正常進(jìn)行。

Windows Server 2008 R2后臺(tái)的進(jìn)程和服務(wù)，都需要指定某一特定運(yùn)行帳號(hào)，應(yīng)該指定哪些帳號(hào)呢？我們可以從后臺(tái)服務(wù)的分類來探討：

***類是操作系統(tǒng)自帶服務(wù)，例如BITS服務(wù)、DNS Client服務(wù)等，他們的作用是為操作系統(tǒng)運(yùn)行提供后臺(tái)支撐，在Windows操作系統(tǒng)下，我們知道有這么三個(gè)特殊帳號(hào)用以啟動(dòng)此類服務(wù)，分別是：

SYSTEM帳號(hào)：系統(tǒng)帳號(hào)。部分操作系統(tǒng)版本會(huì)識(shí)別為L(zhǎng)ocaSystem帳號(hào)。由System帳號(hào)開啟的后臺(tái)進(jìn)程，擁有對(duì)計(jì)算機(jī)***的訪問權(quán)限，并可接收其他用戶的請(qǐng)求，并頒發(fā)訪問令牌等。

LocaService帳號(hào)：本地服務(wù)帳號(hào)。是預(yù)設(shè)的擁有最小權(quán)限的本地賬戶，并在網(wǎng)絡(luò)憑證中具有匿名的身份。LocaService賬戶通?？梢栽L問LocaService、Everyone組還有認(rèn)證用戶有權(quán)限訪問的資源

Network Service帳號(hào)：網(wǎng)絡(luò)服務(wù)帳號(hào)。是預(yù)設(shè)的擁有本機(jī)部分權(quán)限的本地賬戶，它能夠以計(jì)算機(jī)的名義訪問網(wǎng)絡(luò)資源。以Network Service賬戶運(yùn)行的服務(wù)會(huì)根據(jù)實(shí)際環(huán)境把訪問憑據(jù)提交給遠(yuǎn)程的計(jì)算機(jī)。Network Service賬戶通?？梢栽L問Network Service、Everyone組，還有認(rèn)證用戶有權(quán)限訪問的資源

第二類是業(yè)務(wù)應(yīng)用系統(tǒng)服務(wù)，例如SQServer服務(wù)，ERP應(yīng)用服務(wù)等，他們是為了滿足某一業(yè)務(wù)應(yīng)用提供后臺(tái)支撐。一般我們需要指定某一域帳號(hào)來啟動(dòng)此類服務(wù)，在微軟的活動(dòng)目錄架構(gòu)下，此帳號(hào)往往都是域帳號(hào)。而對(duì)于域帳號(hào)的密碼管理，每個(gè)企業(yè)都有自己的一套規(guī)范，

例如：某些企業(yè)可能要求域用戶的密碼：

密碼最小長(zhǎng)度7位

最長(zhǎng)42天更改密碼

不能使用最近三次使用過的密碼作為新密碼

顯然運(yùn)行服務(wù)的域帳號(hào)也必須每42天更改一次密碼，一旦超過42天沒有更改，則原密碼過期，會(huì)造成服務(wù)無法正常運(yùn)行。

對(duì)管理員來說，定期更改服務(wù)帳號(hào)的密碼是繁瑣的，且服務(wù)種類、帳號(hào)越多，更加難以管理。有些系統(tǒng)管理員為了管理方便，往往還會(huì)設(shè)置服務(wù)帳號(hào)為密碼永不過期。這樣雖然避免了定期更改密碼，減小了工作量，但是長(zhǎng)期不更改密碼，增加了密碼泄露的風(fēng)險(xiǎn)。

而在Windows Server 2008 R2中的托管服務(wù)帳號(hào)（MSA）出現(xiàn)，解決了這一問題，他是如何實(shí)現(xiàn)的，我們來看看。

托管服務(wù)帳號(hào)

由于對(duì)運(yùn)行的服務(wù)的域用戶賬號(hào)密碼管理起來較麻煩，因此托管服務(wù)帳號(hào)（Managed Service Account）應(yīng)運(yùn)而生。所謂托管服務(wù)帳號(hào)，也即委托給操作系統(tǒng)進(jìn)行管理的帳號(hào)。托管服務(wù)帳號(hào)（MSA）的密碼由操作系統(tǒng)自動(dòng)設(shè)定、維護(hù)，定期自動(dòng)更新，并不需要管理員手工干預(yù)，對(duì)管理員來說，好像此帳號(hào)沒有密碼一樣。

托管服務(wù)帳號(hào)（MSA）的作用

托管服務(wù)賬號(hào)使得服務(wù)相互隔離，需要單獨(dú)進(jìn)行自動(dòng)密碼管理

減少服務(wù)中斷，從而降低TCO

對(duì)于每服務(wù)或每服務(wù)器使用單一的托管服務(wù)賬號(hào)（服務(wù)賬號(hào)不能被多臺(tái)計(jì)算機(jī)共享）

在Windows Server 2008 R2域功能級(jí)別上能更好的進(jìn)行SPN管理（允許服務(wù)器對(duì)服務(wù)賬號(hào)的重命名）

托管服務(wù)帳號(hào)（MSA）的使用

配置和應(yīng)用托管服務(wù)帳號(hào)（MSA），需要進(jìn)行三個(gè)步驟：

創(chuàng)建MSA帳號(hào)à安裝MSA帳號(hào)à為服務(wù)分配MSA帳號(hào)。

1. 創(chuàng)建MSA帳號(hào)：

MSA帳號(hào)的創(chuàng)建需要通過PowerShell的New-ADServiceAccount命令創(chuàng)建，

創(chuàng)建完成后，可以在AD用戶與計(jì)算機(jī)中看到剛才創(chuàng)建的MSAtest帳號(hào)。 

2. 安裝MSA帳號(hào)

創(chuàng)建帳號(hào)完成之后，就可以進(jìn)行MSA帳號(hào)的安裝操作了。在一臺(tái)Windows Server 2008 R2的成員服務(wù)器或Windows 7的客戶端計(jì)算機(jī)上安裝托管服務(wù)賬號(hào)，使用PowerShell中的Install-ADServiceAccount命令，需要注意的是，

注意：

1) 托管服務(wù)帳號(hào)（MSA）僅支持Windows Server 2008 R2或Windows 7的操作系統(tǒng)，對(duì)早期版本的操作系統(tǒng)，不做支持。

2) 一個(gè)托管服務(wù)帳號(hào)（MSA）僅能安裝到一臺(tái)計(jì)算機(jī)上，不能被多臺(tái)計(jì)算機(jī)共享。也即意味著MSA帳號(hào)并不支持群集服務(wù)。

3. 為服務(wù)分配MSA帳號(hào)

以Windows Server 2008 R2成員服務(wù)器為例。

首先打開服務(wù)控制管理器，展開配置-服務(wù)，在右側(cè)雙擊所需配置的服務(wù)，在登錄標(biāo)簽頁(yè)下，選擇“此賬戶”-“瀏覽”，導(dǎo)航到之前創(chuàng)建的MSA帳號(hào)，點(diǎn)擊確定。使用該服務(wù)以選定MSA帳號(hào)運(yùn)行

注意：

1) 默認(rèn)情況下，后臺(tái)服務(wù)并不允許設(shè)置一個(gè)密碼為空的帳號(hào)來啟動(dòng)，但唯獨(dú)MSA帳號(hào)例外，其實(shí)MSA帳號(hào)其實(shí)是有密碼的，但管理員無需設(shè)置而已。

托管服務(wù)帳號(hào)（MSA）的注意事項(xiàng)

使用托管服務(wù)帳號(hào)，大大簡(jiǎn)化了企業(yè)內(nèi)部服務(wù)帳號(hào)的管理工作，但也有一些注意事項(xiàng)。

賦予MSA合適的訪問權(quán)限是非常關(guān)鍵的

指派權(quán)限給MSA就像指派權(quán)限給一個(gè)用戶服務(wù)賬號(hào)

SCM給MSA通過logonAsService賦予locasystem權(quán)限

安裝管理器不會(huì)讓你指定一個(gè)沒有密碼的賬戶

使用一個(gè)標(biāo)準(zhǔn)服務(wù)器賬號(hào)進(jìn)行安裝

給一個(gè)MSA復(fù)制權(quán)限

在SCM中更改服務(wù)來使用MSA

計(jì)劃作業(yè)不能以托管服務(wù)賬戶運(yùn)行

因?yàn)镸SA帳號(hào)只能安裝在一臺(tái)計(jì)算機(jī)上，不能被多臺(tái)計(jì)算機(jī)共享，所以托管服務(wù)賬號(hào)不能使用在群集服務(wù)中

如果域功能級(jí)別是Windows Server 2008 R2, 服務(wù)賬號(hào)的SPN將會(huì)在服務(wù)賬號(hào)被重命名時(shí)更新。

通過以上介紹，我們了解了有關(guān)托管服務(wù)帳號(hào)(MSA)的基本概念，創(chuàng)建方法，使用場(chǎng)景等，希望在合適的場(chǎng)合下，大家可以正確使用。 

【編輯推薦】

1. Windows server 2008 R2系統(tǒng)安全穩(wěn)如磐石
2. Windows Server 2008 R2安全性能體驗(yàn)
3. Windows Server 2008 R2中的DirectAccess功能詳解
4. Windows Server 2008 R2中的ASP.NET環(huán)境架設(shè)
5. Windows Server 2008 R2如何進(jìn)行離線域添加