组托管服务帐户概述
适用对象:Windows Server 2012 R2, Windows Server 2012
本面向 IT 专业人士的主题引入了组托管服务帐户,其中介绍了实际应用程序、Microsoft 实现更改、硬件和软件要求以及 Windows Server 2012 附加资源。
是否就是…
Windows Server 2008 R2 和 Windows 7 中引入的独立托管服务帐户是指提供自动密码管理和简化 SPN 管理的托管域帐户,包括将管理委派给其他管理员。
组托管服务帐户在域中提供同样的功能,但也通过多个服务器对功能进行了扩展。 连接到服务器场上托管的服务时,如网络负载平衡,支持相互身份验证的身份验证协议要求服务的所有实例都使用同一主体。 将组托管服务帐户用作服务主体时,Windows 操作系统将管理帐户密码,而不是依靠管理员管理密码。
Microsoft 密钥发行服务 (kdssvc.dll) 提供机制来安全获得最新密钥或具有 Active Directory 帐户的密钥标识符的特定密钥。 这项服务是 Windows Server 2012 的新功能,因此不在以前版本的 Windows Server 操作系统上运行。 密钥发行服务共享用于创建帐户密钥的机密。 这些密钥会定期更改。 对于组托管服务帐户,Windows Server 2012 域控制器会计算密钥发行服务提供的密钥密码,以及组托管服务帐户的其他属性。 通过联系 Windows Server 2012 域控制器,Windows 8 和 Windows Server 2012 成员主机可获得当前和以前的密码值。
组托管服务帐户为在服务器场上或在网络负载平衡后面的系统上运行的服务提供了一个身份解决方案。 通过提供组托管服务帐户解决方案,可以为新的组托管服务帐户规则配置服务,并且密码管理将由 Windows 处理。
使用组托管服务帐户,服务或服务管理员无需管理服务实例之间的密码同步。 组托管服务帐户支持在扩展时间段内保持脱机的主机,还支持对所有服务实例的成员主机的管理。 这意味着,你可以部署支持现有客户端计算机可进行身份验证的单个身份的服务器场,而无需知道其连接到的服务的实例。
故障转移群集不支持 gMSA。 但是,如果在群集服务上运行的服务是 Windows 服务、应用池、计划任务或是本机支持的 gMSA 或 sMSA,则它们可以使用 gMSA 或 sMSA。
下表注释了对 MSA 功能所做的更改。
特性/功能 |
Windows Server 2008 R2 |
Windows Server 2012 |
---|---|---|
虚拟计算机帐户 |
X |
X |
托管服务帐户 |
X |
X |
组托管服务帐户 |
X |
|
Windows PowerShell cmdlet |
X |
X |
有关这些 MSA 功能更改的信息,请参阅托管服务帐户的新增功能。
托管服务帐户(和虚拟计算机帐户)同时适用于 Windows Server 2008 R2 和 Windows Server 2012。 组托管服务帐户只能在运行 Windows Server 2012 的计算机上配置和管理,但可在仍具有部分 DC 在运行低于 Windows Server 2012 的操作系统的域中配置为单个服务身份解决方案。 其中没有域或林功能级别要求。
要运行用于管理组托管服务帐户的 Windows PowerShell 命令,需要 64 位体系结构。
托管服务帐户依赖 Kerberos 支持的加密类型。在客户端计算机使用 Kerberos 在服务器中进行身份验证时,DC 将创建使用 DC 和服务器同时支持的加密保护的 Kerberos 服务票证。 DC 使用帐户的 msDS-SupportedEncryptionTypes 属性确定服务器支持的加密。如果没有属性,则假定客户端计算机不支持更强的加密类型。 如果将 Windows Server 2012 主机配置为不支持 RC4,则身份验证始终失败。 出于此原因,应该始终显式针对 MSA 配置 AES。
注意 |
---|
从 Windows Server 2008 R2 开始,默认情况下禁用 DES。 有关支持的加密类型的详细信息,请参阅 Kerberos 身份验证中的变化。 |
组托管服务帐户不适用于低于 Windows Server 2012 的 Windows 操作系统。
下表提供了指向与托管服务帐户和组托管服务帐户相关的更多资源的链接。
内容类型 |
参考 | |||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
产品评估 |
||||||||||||||||||||||||||||||||||||||
规划 |
尚未提供 |
|||||||||||||||||||||||||||||||||||||
部署 |
尚未提供 |
|||||||||||||||||||||||||||||||||||||
操作 |
||||||||||||||||||||||||||||||||||||||
疑难解答 |
尚未提供 |
|||||||||||||||||||||||||||||||||||||
评估 |
||||||||||||||||||||||||||||||||||||||
工具和设置 |
||||||||||||||||||||||||||||||||||||||
社区资源 |
||||||||||||||||||||||||||||||||||||||
相关技术 |
组托管服务帐户概述适用对象:Windows Server 2012 R2, Windows Server 2012 本面向 IT 专业人士的主题引入了组托管服务帐户,其中介绍了实际应用程序、Microsoft 实现更改、硬件和软件要求以及 Windows Server 2012 附加资源。 是否就是… Windows Server 2008 R2 和 Windows 7 中引入的独立托管服务帐户是指提供自动密码管理和简化 SPN 管理的托管域帐户,包括将管理委派给其他管理员。 组托管服务帐户在域中提供同样的功能,但也通过多个服务器对功能进行了扩展。 连接到服务器场上托管的服务时,如网络负载平衡,支持相互身份验证的身份验证协议要求服务的所有实例都使用同一主体。 将组托管服务帐户用作服务主体时,Windows 操作系统将管理帐户密码,而不是依靠管理员管理密码。 Microsoft 密钥发行服务 (kdssvc.dll) 提供机制来安全获得最新密钥或具有 Active Directory 帐户的密钥标识符的特定密钥。 这项服务是 Windows Server 2012 的新功能,因此不在以前版本的 Windows Server 操作系统上运行。 密钥发行服务共享用于创建帐户密钥的机密。 这些密钥会定期更改。 对于组托管服务帐户,Windows Server 2012 域控制器会计算密钥发行服务提供的密钥密码,以及组托管服务帐户的其他属性。 通过联系 Windows Server 2012 域控制器,Windows 8 和 Windows Server 2012 成员主机可获得当前和以前的密码值。 组托管服务帐户为在服务器场上或在网络负载平衡后面的系统上运行的服务提供了一个身份解决方案。 通过提供组托管服务帐户解决方案,可以为新的组托管服务帐户规则配置服务,并且密码管理将由 Windows 处理。 使用组托管服务帐户,服务或服务管理员无需管理服务实例之间的密码同步。 组托管服务帐户支持在扩展时间段内保持脱机的主机,还支持对所有服务实例的成员主机的管理。 这意味着,你可以部署支持现有客户端计算机可进行身份验证的单个身份的服务器场,而无需知道其连接到的服务的实例。 故障转移群集不支持 gMSA。 但是,如果在群集服务上运行的服务是 Windows 服务、应用池、计划任务或是本机支持的 gMSA 或 sMSA,则它们可以使用 gMSA 或 sMSA。 下表注释了对 MSA 功能所做的更改。
有关这些 MSA 功能更改的信息,请参阅托管服务帐户的新增功能。 托管服务帐户(和虚拟计算机帐户)同时适用于 Windows Server 2008 R2 和 Windows Server 2012。 组托管服务帐户只能在运行 Windows Server 2012 的计算机上配置和管理,但可在仍具有部分 DC 在运行低于 Windows Server 2012 的操作系统的域中配置为单个服务身份解决方案。 其中没有域或林功能级别要求。 要运行用于管理组托管服务帐户的 Windows PowerShell 命令,需要 64 位体系结构。 托管服务帐户依赖 Kerberos 支持的加密类型。在客户端计算机使用 Kerberos 在服务器中进行身份验证时,DC 将创建使用 DC 和服务器同时支持的加密保护的 Kerberos 服务票证。 DC 使用帐户的 msDS-SupportedEncryptionTypes 属性确定服务器支持的加密。如果没有属性,则假定客户端计算机不支持更强的加密类型。 如果将 Windows Server 2012 主机配置为不支持 RC4,则身份验证始终失败。 出于此原因,应该始终显式针对 MSA 配置 AES。
组托管服务帐户不适用于低于 Windows Server 2012 的 Windows 操作系统。 下表提供了指向与托管服务帐户和组托管服务帐户相关的更多资源的链接。
|