原文:Chapter 1 Securing Your Server and Network(3):使用托管服务帐号

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38017703,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者同意,任何人不得以“原创”形式发布,也不得已用于商业用途,本人不负责任何法律责任。

前一篇:http://blog.csdn.net/dba_huangzj/article/details/37927319

前言:

托管服务帐号(Managed Servcie Account)从Windows Server 2008 R2出现, 它的目的是使用于运行服务的活动目录帐号更加容易管理。在此之前,必须创建用于作为服务帐号的域帐号相同类型的用户,但是需要禁用密码策略以免密码过期导致服务运行发生错误。但是禁用密码策略又会降低安全性。

为了解决这些问题,出现了托管服务帐号,它是一个绑定到特定计算机上的活动目录帐号,它的密码由活动目录自动管理,并且可以在不影响服务运行的情况下定期修改密码。另外还能简化Service Principal Name(SPN/服务主体名称,客户端的唯一标识,在后续详细介绍)。

实现:

托管服务帐号必须运行在Windows Server 2008R2或Win 7以上,并且需要打上一个热修复补丁:http://support.microsoft.com/kb/2494158 。了另外,创建托管服务帐号需要使用PowerShell实现,并且在活动目录上安装PowerShell 管理单元(Snap-In):

1.如果没安装PowerShell管理单元,可以在活动目录上,打开服务器管理器,右键【功能】节点,选择【添加功能】,在【远程服务器管理工具】→【角色管理工具 】→【AD DS 和AD LDS 工具】节点上勾选【Windows PowerShell 的 Active Directory 模块】并进行安装,如下图:

2. 以活动目录下有足够权限的帐号打开PowerShell ,导入ActiveDirectory模块:

Import-Module ActiveDirectory

如果发生上面的警告,是因为ADWS服务没有启动,这种问题一般出现在虚拟机,临时解决方法就是在Powershell里面输入

restart-service adws

根本解决方法就是把adws服务设置成延时启动。

3. 创建托管帐号:

New-ADServiceAccount -Name SQL-SRV1 -Enabled $true

其中SQL-SRV1就是创建的帐号名。

4. 把新加的帐号关联到SQL Server计算机上,本例关联到机器名为【SQL-A】上。

Add-ADComputerServiceAccount -Identity SQL-A -ServiceAccount SQL-SRV1

5.托管服务帐号必须安装在运行有SQL Server的服务器上,所以在SQL-A上打开PowerShell,先导入ActiveDirectory模块(步骤2),然后输入下面命令:

Install-ADServiceAccount -Identity SQL-SRV1

如果此过程报错,可以在SQL-A(也就是域成员服务器上)的PowerShell中输入:

Import-Module ServerManager
Add-WindowsFeature RSAT-AD-PowerShell

然后再根据步骤2的命令导入模版,再输入:

Install-ADServiceAccount -Identity SQL-SRV1

即可,如图:

6. 注意不要创建超过15个字符的托管帐号名,否则会存在Bug。

现在你可以用这个帐号来作为服务帐号,帐号名必须使用$符号,比如:(DOMAIN\SQL-SRV1$)。密码和确认密码留空。参考http://blog.csdn.net/dba_huangzj/article/details/37924127 进行配置,需要提醒的是这里先要在Windows上的服务管理器配置帐号,而不能直接在SQL Server配置管理器中配置,否则报错。

在服务管理器中配置完之后,在SQL Server配置管理器中重启SQL Server服务即可,不需要再次配置:

原理:

托管服务帐号是绑定到单独的机器上,并且仅用于服务所用,所以不能用来登录,也不能用于群集服务,因为群集需要需要服务帐号能够跨多个群集节点。但是和本地内置帐号不同,托管帐号的名字在网络中发现,同时可以用于访问网络共享资源。

当你创建一个托管帐号在活动目录上时,不需要指定密码,密码会由活动目录自动管理。并且根据密码策略(默认30天)自动刷新,期间不影响SQL Server 服务。

在创建完之后,可以在活动目录的【Active Directory 用户和计算机】工具中的【Managed Service Accounts】节点看到你的帐号,但是只能看不能改,一切操作都需要使用PowerShell。

在上面过程中,使用New-ADServiceAccount命令可能会出现拒绝访问(Access is denied error)错误,这是因为用户帐号控制(User Account Control,UAC)策略导致的,可以使用域管理员帐号登录操作,或者临时禁用Admin Approval Mode。

禁用Admin Approval Mode 可以在域管理器中运行【secpol.msc】,然后找到下图中的配置,并禁用,然后重启计算机。

更多信息:

如果你不再使用托管服务帐号,应该把它移除:

移除托管帐号:

在对应服务器上运行:

Uninstall-ADServiceAccount -Identity SQL-SRV1

在AD上运行:

Remove-ADServiceAccount -Identity SQL-SRV1

更多信息可以访问:

Service Accounts Step-by-Step Guide  http://technet.microsoft.com/en-us/library/dd548356%28WS.10%29.aspx


Chapter 1 Securing Your Server and Network(3):使用托管服务帐号的更多相关文章

  1. Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击

    原文:Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击 原文出处:http://blog.csdn.net/dba_huang ...

  2. Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证

    原文:Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证 原文出处:http://blog.csdn.net/dba_huan ...

  3. Chapter 1 Securing Your Server and Network(8):停止未使用的服务

    原文:Chapter 1 Securing Your Server and Network(8):停止未使用的服务 原文出处:http://blog.csdn.net/dba_huangzj/arti ...

  4. Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse

    原文:Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse 原文出处:http://blog.csdn.net/dba_h ...

  5. Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙

    原文:Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙 原文出处:http://blog.csdn.net/dba_hu ...

  6. Chapter 1 Securing Your Server and Network(5):使用SSL加密会话

    原文:Chapter 1 Securing Your Server and Network(5):使用SSL加密会话 原文出处:http://blog.csdn.net/dba_huangzj/art ...

  7. Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号

    原文:Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号 原文出处:http://blog.csdn.net/dba_huangzj/arti ...

  8. Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号

    原文:Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号 原文出处:http://blog.csdn.net/dba_huan ...

  9. Chapter 1 Securing Your Server and Network(1):选择SQL Server业务经理

    原版的:http://blog.csdn.net/dba_huangzj/article/details/37924127  ,专题文件夹:http://blog.csdn.net/dba_huang ...

随机推荐

  1. Android在子线程中更新UI(二)

    MainActivity如下: package cc.testui2; import android.os.Bundle; import android.view.View; import andro ...

  2. Java使用反射机制优化工厂方法

    我先举个例子,有一个接口People,这个接口有一个方法: package com.wjy.reflect; public interface People { public abstract voi ...

  3. WPF界面设计技巧(10)-样式的继承

    原文:WPF界面设计技巧(10)-样式的继承 PS:现在我的MailMail完工了,进入内测阶段了,终于可以腾出手来写写教程了哈,关于MailMail的介绍及内测程序索取:http://www.cnb ...

  4. U7Linux文件与目录管理

    1. .:代表当前层目录. ..:代表上一层目录. -:代表前一个工作目录. ~:代表目前用户所在的主文件夹. ~account:代表account这个用户的主文件夹. 2.pwd:显示当前目录. p ...

  5. 学了Java 你未必知道这些

    作为一个正奔跑向编程完美天堂的朝圣者,本人觉得在平常的编程中,应该要做到以下几点: 一:汝应注释,这样做既方便别人,也方便自己去读懂代码的逻辑 二:注重细节,为自己写的每行代码负责,比如,在并发编程的 ...

  6. 【cocos2d-x制作别踩白块儿】第一期:游戏介绍

    这一系类文章.我们将来分析时下最火的一款游戏 -- 别踩白块儿. 无图无真相,先上图 这就是我们终于要完毕项目的效果图. 游戏刚開始的最以下有一栏为黄色,紧接着上面每一行都是有一个黑色块,其余为白色块 ...

  7. WPF换肤之三:WPF中的WndProc

    原文:WPF换肤之三:WPF中的WndProc 在上篇文章中,我有提到过WndProc中可以处理所有经过窗体的事件,但是没有具体的来说怎么可以处理的. 其实,在WPF中,要想利用WndProc来处理所 ...

  8. POJ 1276  Cash Machine(多重背包)

    Cash Machine Time Limit: 1000MS Memory Limit: 10000K Total Submissions: 24132 Accepted: 8446 Descrip ...

  9. SharePoint Server 2010 删除Web应用

    SharePoint Server 2010 删除Web应用         因为之前的测试.在SharePointserver创建于非常多Web应用(我是在本机Win7系统上安装的SharePoin ...

  10. Sybase Unwired Platform(SUP) 经常使用资源整理(不断更新中)

    提示:建议刚開始学习的人看三个东西,详见以下的详细内容.然后再去看论坛,官方技术支持站点等资源. SUP移动开发平台 中文视频讲座 SUP入门讲座(Wang Jun) SUP系列学习笔记 SUP实验 ...