管理Windows Server 2012賬戶

管理和使用組托管賬戶gMSA

在Windows Server 2008中已經(jīng)引入了托管賬戶的功能，該功能主要是為了解決密碼同步問題。當在系統(tǒng)中安裝應用程序時，其可能會創(chuàng)建對應的服務，對于系統(tǒng)服務來說，必須為其指派合適的賬戶，才可以讓其正常運行。

這些賬戶可能是系統(tǒng)內置的（例如 LOCAL SERVICE，NETWORK SERVICES等），也可使用域中預設的賬戶。當使用后者，為保證目標服務安全的運行，就必須定期為該賬戶設置不同的密碼，而且密碼應該合乎安全性策略。當在域活動目錄中修改了相應賬戶密碼后，在目標服務中也必須進行相同的密碼修改操作。

這樣，當每次修改密碼時，因為密碼同步無法自動完成，必須費時費力進行密碼的同步操作。

組托管賬戶gMSA可以很好地解決上述問題，其不僅可以實現(xiàn)密碼同步修改，而且連密碼的修改都是由系統(tǒng)自動完成的。這樣對于系統(tǒng)服務的維護就變的簡單了許多，保證了服務的正常運作。

當部署多臺服務器實現(xiàn)同一個服務時（例如實現(xiàn)IIS的負載均衡等），在每臺服務器上都會使用相同的賬戶，就可以使用組托管賬戶來進行有效管理。

針對IIS負載均衡，這里使用了WebSrv1和WebSrv2兩臺服務器。在域控上打開Active Directory管理中心窗口，在左側選擇“xxx(本地)”項，“xxx”為具體的域名，在右側選擇“Computers”項，在右側點擊“新建”→“計算機”項，在打開窗口（如圖1）中“計算機名”欄中輸入“WebSrv1”，點擊確定按鈕，創(chuàng)建該計算機項。

圖1 新建計算機項目

按照同樣的方法 ，創(chuàng)建名為“WebSrv2”的計算機項。在上述菜單上點擊“新建”→“組”項，在打開窗口中輸入組名為“IISGroup”，在左側點擊“成員”項，點擊“添加”按鈕，在選擇用戶、聯(lián)系人、計算機、服務賬戶或組窗口點擊“對象類型”按鈕，再將上述服務器添加進來。

打開DNS控制臺，在左側選擇“正常查找區(qū)域”→“xxx.com”項，在右側點擊右鍵，在彈出菜單中選擇“新建主機”項，在打開窗口中的“名稱”欄中輸入“www”，在“IP地址”欄中輸入合適的IP，點擊確定按鈕，創(chuàng)建該A記錄。

這樣，當用戶訪問“www.xxx.com”時，就會訪問目標網(wǎng)站，而IIS服務是由上述兩個服務器組成的負載均衡群集來提供的。

打開活動目錄站點和服務窗口，點擊菜單“查看”→“顯示服務節(jié)點”項，在左側選擇“Services”→“Group Key Distribution Service” →“Server Configuration” 項， 在右側如果顯示“Group Key Distribution Service Server Configuration”項，說明組密鑰分發(fā)服務已經(jīng)在活動目錄中成功注冊。

打 開Windows Power Shell界面，執(zhí)行“Import-Module activedirectory”命令，導入活動目錄的PowerShell管理工具。

執(zhí) 行“Add-KdsRootKey-EffectiveImmediately”命令，創(chuàng)建Key Distribution Service根密鑰，該密鑰在十個小時之后生效，在返回的“Guid”欄中顯示具體的全局唯一標識符信息。

在活動目錄站點和服務窗口左側選擇“Services” →“Group Key Distribution Service” →“Master Root Keys”項，可以看到兩者的GUID是相同的。執(zhí)行“New-ADServiceAccount-name ztgzh-DNSHostName www.xxx.com-PrincipalsAllow edToRetrieveManagedPass word iisgroup”，新建組托管賬戶，其名稱為“ztgzh”。同時指定DNS主機名稱，這里為上述Web站點地址。并指定訪問組的名稱（這里為“IISGroup”），使其可以獲取上述密碼，以同步服務賬戶的密鑰。

如果出現(xiàn)“New→ ADServiceAccount:該項不存在”的提示，說明上述密鑰還沒有生效，必須經(jīng)過十個小時后方可。

當該命令成功執(zhí)行后，就完成了概念組托管賬戶的創(chuàng)建操作。之后在上述兩臺服務器上分別打開PowerShell界 面， 執(zhí) 行“Install-ADServiceAccount -ztgzh”命令，來安裝上述組托管賬戶。

在WebSrv1和WebSrv2兩臺服務器上分別運行“services.msc”程序，打開服務器管理器，選擇和IIS相關的服務，在其屬性窗口中的“登錄”面板中選擇“此賬戶”項，點擊“瀏覽”按鈕，導入上述“ztgzh”賬戶。當然，也可以針對IIS應用程序池進行相同的設定。

組托管服務帳戶在域中提供同樣的功能，但也通過多個服務器對功能進行了擴展。

連接到服務器場上托管的服務時（網(wǎng)絡負載平衡），支持相互身份驗證的身份驗證協(xié)議要求服務的所有實例都使用同一主體，然后將組托管服務帳戶用作服務主體時，系統(tǒng)將管理帳戶密碼，而不是依靠管理員來管理密碼。

Microsoft密鑰發(fā)行服務提供機制來安全獲得最新密鑰，或獲取具有Active Directory帳戶的密鑰標識符的特定密鑰，這些密鑰會定期更改。

對于組托管服務帳戶來說，Windows Server 2012域控制器會計算密鑰發(fā)行服務提供的密鑰密碼，以及組托管服務帳戶的其他屬性。通過和 Windows Server 2012域控進行連接，Windows Server 2012等成員主機可獲得當前和以前的密碼值，即通過創(chuàng)建組托管服務帳戶，服務和服務管理員就不需要在各個服務實例之間同步密碼。

管理和使用連接賬戶

從Windows 8開始，系統(tǒng)允許用戶使用Live ID賬戶進行登錄。這樣，用戶的配置文件信息救護同步到微軟的公有云中。當用戶使用相同的Live ID登錄到別的主機上時，就會自動將其配置文件下載到本地，這可以有效的保證用戶使用體驗的一致性。

在Windows Server 2012的域環(huán)境中，如果允許用戶使用Live ID進行登錄的話，對于管理來說并不方便。使用連接賬戶，就可以使用域賬戶進行登錄，同時可以連接到Live ID，將用戶相關的配置信息上傳到公有云中。

例如，在域環(huán)境中打開某臺Windows 8客戶機，在登錄界面上使用某個Windows Live ID進行登錄，之后本地的配置信息和公有云中存儲的信息會進行同步。比如可以同步Hotmail郵件等。

當注銷該賬戶后，在登錄界面以某個域賬戶身份登錄，當其想使用自己的Live ID進行數(shù)據(jù)同步的話，就需要對連接賬戶進行設置。在Windows 8中打開電腦設置界面，在左側點擊“用戶”項，在右側點擊“連接你的Microsoft賬戶”按鈕，將其域賬戶連接到Microsoft賬戶以同步電腦設置。

選擇具體的設置項目，包括個性化設置，桌面?zhèn)€性化，輕松使用，語言首選項，應用設置，瀏覽器，其他Windows設置，密碼等。點擊下一步按鈕，輸入其Live ID賬戶名，點擊下一步按鈕，即可連接到微軟的賬戶服務器上。

然后輸入Live ID的密碼，當驗證通過后，可以添加相應的安全信息，點擊完成按鈕，連接到MicroSoft賬戶。這樣，就可以看到當前的域賬戶已經(jīng)連接到了對應的Microsoft賬戶上。然后就可以執(zhí)行各種數(shù)據(jù)的同步操作。

在上述電腦設置界面中點擊“斷開你的Microsoft賬戶連接”選項，可以斷開上述連接。

圖2 和連接賬戶相關的安全設置

為了更好的使用連接賬戶，可以在組策略中對其統(tǒng)一設置。在域控上打開組策略管理器，在左側選擇“林”→“域”→“xxx.com”項，在其右鍵菜單上點擊“在這個域中創(chuàng)建GPO并在此處鏈接”項，在彈出窗口中輸入該GPO的名稱（例如“LinkAccount”），點擊確定按鈕，完成創(chuàng)建操作。

在該GPO的右鍵菜單上點擊“編輯”項，在編輯窗口左側選擇“計算機配置”→“策略”→“管理模版”→“Windows組件”→“同步你的設置”項，在右側可以針對不同步應用設置，不同步密碼，不同步桌面?zhèn)€性化，不同步個性化，不同步瀏覽器設置，不同步其他Windows設置等項目，進行必要的設置。

在左側選擇“計算 機 配 置” →“策略” →“Windows設置”→“安全設置”→“本地策略”→“安全選項”選項，在右側雙擊“賬戶:阻止Microsoft賬戶”選項，在其屬性窗口（如圖2）中選擇“定義此策略設置”項，在列表中選擇“阻止Microsoft賬戶”項，表示阻止用戶在此計算機上添加新的Microsoft賬戶。

選擇“用戶不能添加Microsoft賬戶”項，表示用戶將不能在此計算機上創(chuàng)建新的Microsoft賬戶，不能將本地賬戶切換到Microsoft賬戶，也不能將域賬戶連接到Microsoft賬戶。

選擇“用戶不能添加Microsoft賬戶或使用該賬戶登錄”項，表示現(xiàn)有的Microsoft賬戶將不能登錄到系統(tǒng)中。

綜上所述，使用連接賬戶可以保證用戶體驗的一致性。在域環(huán)境中，為了提高安全性，也可以禁止用戶使用Microsoft賬戶。