Chapter 1 Securing Your Server and Network(3):使用托管服务帐号
原文:Chapter 1 Securing Your Server and Network(3):使用托管服务帐号
未经作者同意,任何人不得以“原创”形式发布,也不得已用于商业用途,本人不负责任何法律责任。
前一篇:http://blog.csdn.net/dba_huangzj/article/details/37927319
前言:
托管服务帐号(Managed Servcie Account)从Windows Server 2008 R2出现, 它的目的是使用于运行服务的活动目录帐号更加容易管理。在此之前,必须创建用于作为服务帐号的域帐号相同类型的用户,但是需要禁用密码策略以免密码过期导致服务运行发生错误。但是禁用密码策略又会降低安全性。
为了解决这些问题,出现了托管服务帐号,它是一个绑定到特定计算机上的活动目录帐号,它的密码由活动目录自动管理,并且可以在不影响服务运行的情况下定期修改密码。另外还能简化Service Principal Name(SPN/服务主体名称,客户端的唯一标识,在后续详细介绍)。
实现:
托管服务帐号必须运行在Windows Server 2008R2或Win 7以上,并且需要打上一个热修复补丁:http://support.microsoft.com/kb/2494158 。了另外,创建托管服务帐号需要使用PowerShell实现,并且在活动目录上安装PowerShell 管理单元(Snap-In):
1.如果没安装PowerShell管理单元,可以在活动目录上,打开服务器管理器,右键【功能】节点,选择【添加功能】,在【远程服务器管理工具】→【角色管理工具 】→【AD DS 和AD LDS 工具】节点上勾选【Windows PowerShell 的 Active Directory 模块】并进行安装,如下图:
2. 以活动目录下有足够权限的帐号打开PowerShell ,导入ActiveDirectory模块:
Import-Module ActiveDirectory
如果发生上面的警告,是因为ADWS服务没有启动,这种问题一般出现在虚拟机,临时解决方法就是在Powershell里面输入
restart-service adws
根本解决方法就是把adws服务设置成延时启动。
3. 创建托管帐号:
New-ADServiceAccount -Name SQL-SRV1 -Enabled $true
其中SQL-SRV1就是创建的帐号名。
4. 把新加的帐号关联到SQL Server计算机上,本例关联到机器名为【SQL-A】上。
Add-ADComputerServiceAccount -Identity SQL-A -ServiceAccount SQL-SRV1
5.托管服务帐号必须安装在运行有SQL Server的服务器上,所以在SQL-A上打开PowerShell,先导入ActiveDirectory模块(步骤2),然后输入下面命令:
Install-ADServiceAccount -Identity SQL-SRV1
如果此过程报错,可以在SQL-A(也就是域成员服务器上)的PowerShell中输入:
Import-Module ServerManager
Add-WindowsFeature RSAT-AD-PowerShell
然后再根据步骤2的命令导入模版,再输入:
Install-ADServiceAccount -Identity SQL-SRV1
即可,如图:
6. 注意不要创建超过15个字符的托管帐号名,否则会存在Bug。
现在你可以用这个帐号来作为服务帐号,帐号名必须使用$符号,比如:(DOMAIN\SQL-SRV1$)。密码和确认密码留空。参考http://blog.csdn.net/dba_huangzj/article/details/37924127 进行配置,需要提醒的是这里先要在Windows上的服务管理器配置帐号,而不能直接在SQL Server配置管理器中配置,否则报错。
在服务管理器中配置完之后,在SQL Server配置管理器中重启SQL Server服务即可,不需要再次配置:
原理:
托管服务帐号是绑定到单独的机器上,并且仅用于服务所用,所以不能用来登录,也不能用于群集服务,因为群集需要需要服务帐号能够跨多个群集节点。但是和本地内置帐号不同,托管帐号的名字在网络中发现,同时可以用于访问网络共享资源。
当你创建一个托管帐号在活动目录上时,不需要指定密码,密码会由活动目录自动管理。并且根据密码策略(默认30天)自动刷新,期间不影响SQL Server 服务。
在创建完之后,可以在活动目录的【Active Directory 用户和计算机】工具中的【Managed Service Accounts】节点看到你的帐号,但是只能看不能改,一切操作都需要使用PowerShell。
在上面过程中,使用New-ADServiceAccount命令可能会出现拒绝访问(Access is denied error)错误,这是因为用户帐号控制(User Account Control,UAC)策略导致的,可以使用域管理员帐号登录操作,或者临时禁用Admin Approval Mode。
禁用Admin Approval Mode 可以在域管理器中运行【secpol.msc】,然后找到下图中的配置,并禁用,然后重启计算机。
更多信息:
如果你不再使用托管服务帐号,应该把它移除:
移除托管帐号:
在对应服务器上运行:
Uninstall-ADServiceAccount -Identity SQL-SRV1
在AD上运行:
Remove-ADServiceAccount -Identity SQL-SRV1
更多信息可以访问:
Service Accounts Step-by-Step Guide http://technet.microsoft.com/en-us/library/dd548356%28WS.10%29.aspx
Chapter 1 Securing Your Server and Network(3):使用托管服务帐号的更多相关文章
- Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击
原文:Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击 原文出处:http://blog.csdn.net/dba_huang ...
- Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证
原文:Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证 原文出处:http://blog.csdn.net/dba_huan ...
- Chapter 1 Securing Your Server and Network(8):停止未使用的服务
原文:Chapter 1 Securing Your Server and Network(8):停止未使用的服务 原文出处:http://blog.csdn.net/dba_huangzj/arti ...
- Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse
原文:Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse 原文出处:http://blog.csdn.net/dba_h ...
- Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙
原文:Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙 原文出处:http://blog.csdn.net/dba_hu ...
- Chapter 1 Securing Your Server and Network(5):使用SSL加密会话
原文:Chapter 1 Securing Your Server and Network(5):使用SSL加密会话 原文出处:http://blog.csdn.net/dba_huangzj/art ...
- Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号
原文:Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号 原文出处:http://blog.csdn.net/dba_huangzj/arti ...
- Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号
原文:Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号 原文出处:http://blog.csdn.net/dba_huan ...
- Chapter 1 Securing Your Server and Network(1):选择SQL Server业务经理
原版的:http://blog.csdn.net/dba_huangzj/article/details/37924127 ,专题文件夹:http://blog.csdn.net/dba_huang ...
随机推荐
- Android在子线程中更新UI(二)
MainActivity如下: package cc.testui2; import android.os.Bundle; import android.view.View; import andro ...
- Java使用反射机制优化工厂方法
我先举个例子,有一个接口People,这个接口有一个方法: package com.wjy.reflect; public interface People { public abstract voi ...
- WPF界面设计技巧(10)-样式的继承
原文:WPF界面设计技巧(10)-样式的继承 PS:现在我的MailMail完工了,进入内测阶段了,终于可以腾出手来写写教程了哈,关于MailMail的介绍及内测程序索取:http://www.cnb ...
- U7Linux文件与目录管理
1. .:代表当前层目录. ..:代表上一层目录. -:代表前一个工作目录. ~:代表目前用户所在的主文件夹. ~account:代表account这个用户的主文件夹. 2.pwd:显示当前目录. p ...
- 学了Java 你未必知道这些
作为一个正奔跑向编程完美天堂的朝圣者,本人觉得在平常的编程中,应该要做到以下几点: 一:汝应注释,这样做既方便别人,也方便自己去读懂代码的逻辑 二:注重细节,为自己写的每行代码负责,比如,在并发编程的 ...
- 【cocos2d-x制作别踩白块儿】第一期:游戏介绍
这一系类文章.我们将来分析时下最火的一款游戏 -- 别踩白块儿. 无图无真相,先上图 这就是我们终于要完毕项目的效果图. 游戏刚開始的最以下有一栏为黄色,紧接着上面每一行都是有一个黑色块,其余为白色块 ...
- WPF换肤之三:WPF中的WndProc
原文:WPF换肤之三:WPF中的WndProc 在上篇文章中,我有提到过WndProc中可以处理所有经过窗体的事件,但是没有具体的来说怎么可以处理的. 其实,在WPF中,要想利用WndProc来处理所 ...
- POJ 1276 Cash Machine(多重背包)
Cash Machine Time Limit: 1000MS Memory Limit: 10000K Total Submissions: 24132 Accepted: 8446 Descrip ...
- SharePoint Server 2010 删除Web应用
SharePoint Server 2010 删除Web应用 因为之前的测试.在SharePointserver创建于非常多Web应用(我是在本机Win7系统上安装的SharePoin ...
- Sybase Unwired Platform(SUP) 经常使用资源整理(不断更新中)
提示:建议刚開始学习的人看三个东西,详见以下的详细内容.然后再去看论坛,官方技术支持站点等资源. SUP移动开发平台 中文视频讲座 SUP入门讲座(Wang Jun) SUP系列学习笔记 SUP实验 ...