微軟托管服務賬號使用實踐

■ 北京 劉長明

在Windows服務器的日常運維工作中，經常需要為一個特定的服務申請一個專用的賬號，并由系統管理員對該賬號進行人工維護，但人工維護賬號會存在人為錯誤的潛在風險，可能導致服務停止或者中斷。由于對運行的服務域用戶賬號密碼管理起來較麻煩，因此托管服務帳號(Managed Service Account)應運而生。本文將會全面介紹微軟的托管服務賬號的基本概念和實用配置，期待在運維工作方面跟大家相互學習。

常見的Windows服務登錄賬號

Windows服務只有登錄到某一帳戶的情況下才能訪問操作系統中的資源和對象。服務一般不要更改默認的登錄帳戶，否則可能導致服務失敗。如果選定帳戶沒有足夠的權限，Microsoft管理控制臺(MMC)的服務管理單元將自動為該帳戶授予登錄所管理計算機中服務的用戶權限。

Windows Server的服務可以用域帳戶或者三個內置的本地帳戶作為各系統服務的登錄帳戶，三個內置帳戶沒有密碼：

1.本地系統帳戶（Local System）：本地系統帳戶功能強大，它可對系統進行完全訪問。

2.本地服務帳戶（NT AUTHORITYLocal Service）。

3.網絡服務帳戶（NT AU THORITYNetwork Service）。

系統中絕大多數的服務都是使用上述三個內置本地帳戶作為登錄帳戶。

當前服務賬號使用面臨的問題

在一些情況下使用域帳戶和內置帳戶存在一些問題，假設SQL Server的服務使用的是Local System帳號，那么其他使用Local System帳號的服務都可以連接到SQL Server數據庫；如果使用的是域帳戶，那么域帳戶的密碼在更改后，還需要在services.msc中手動相應更改這些服務的登陸帳戶密碼；如果服務所使用的域帳戶的密碼設置為永不過期，又會留下系統安全隱患，所以從Windows Server 2008 R2開始，一個新功能Managed Service Account（托管服務帳戶）應運而生。

托管服務賬號（MSA）

所謂托管服務帳號，也即委托給操作系統進行管理的帳號。托管服務帳號(MSA)的密碼由操作系統自動設定、維護，定期自動更新，并不需要管理員手工干預，對管理員來說，好像此帳號沒有密碼一樣。既減少了人為工作，又能進一步確保服務運行的穩定性，不會因賬號問題出現服務故障。

從Windows Server 2018 R2域架構主機開始，引進了一個新的對象類msDSManagedServiceAccount，創建一個MSA，查看它的objectClass屬性值，你會發現它有一個有意思的對象類繼承架構：

Computer

msDS-ManagedServiceAc count

organizationalPerson

Top

User

這個對象既是用戶對象，同時又是計算機對象，類似于一個計算機賬戶。

密碼管理上，托管服務賬號是一個準計算機對象，它使用與計算機對象相同的密碼更新機制，當計算機更新其密碼時，將同時更新MSA帳戶密碼（默認每30天更新一次）。當然，我們也可以通過修改注冊表鍵值來修改更新時間。

HKEY_LOCAL_MACHINESYS TEMCurrentControlSetServ icesNetLogonParameters

DisablePasswordChange=[0 or 1,default if value name does not exist is 0]

MaximumPasswordAge=[1-1,000,000 in days,default if value name does not exist is 30]

托管服務賬號不遵守域或細粒度的密碼策略，它使用自動生成的復雜密碼（240字節，也就是120個字符，隨機生成）。托管服務賬號不能被鎖定，無法進行交互式登錄。當然，必要情況下，管理員也可以通過命令將MSA密碼設置為已知值。

所有的托管服務賬號都存儲在Managed Service Accounts容器里（如圖1），通過設置域用戶和計算機視圖中的顯示高級設置來查看這些賬號信息，但針對該賬號的所有操作都只能通過Powershell進行，不能在這里進行操作。

托管服務賬號的使用

1.前提條件

（1）必須是AD域環境。

（2）需要域管理員權限。

（3）AD域功能級別和域架構主機必須是Windows server 2008 R2及以上。

圖1 托管服務賬號存儲在Managed Service Accounts中

（4）服務運行的宿主機系統必須是Windows server 2008 R2及以上。

（5）使用服務賬號的宿主機需要啟用PowerShell,AD PowerShell(遠程管理工具中的AD管理工具),以及.Net 3.5x framework。

（6）使用Managed Servi ce Account時需要以domai n nameManaged Service Account$的格式引用。

（7）托管服務帳戶要只能綁定在一臺計算機上使用，一個托管服務帳戶應該只給一個服務來使用。

2.托管服務賬號創建

在域控上，以域管理員身份打開powershell并運行如下命令

Import-Module ActiveDirectory

New-ADServiceAccount-Name <托管服務賬號名>-Enabled $true

3.將該帳號關聯到使用該帳號的目標計算機上

Add-ADComputerServi ceAccount -Identity<目標計算機主機名>-ServiceAccount <托管服務賬號名 >

4.安裝MSA賬號，在使用該賬號的目標計算機上打開Powershell并運行如下命令

Import-Module ActiveD irectory

Install-ADServiceAcco unt -Identity <托管服務賬號名 >

5.為服務分配MSA賬號（需要以domain nameMSA account name$的格式引用）

打開服務控制管理器，展開“配置→服務”，在右側雙擊所需配置的服務，在登錄標簽頁下，選擇“此賬戶”→“瀏覽”,導航到之前創建的MSA帳號，點擊確定，使用該服務以選定MSA帳號運行。

也可通過如下powershell命令完成該操作# Edit this section:$MSA=”contosoMSAaccountname$”

$ServiceName=”‘s

ervice-name‘”

# Don’t edit this section:

$Password=$null

$Service=Get-Wmiobjec t win32_service -filter“name=$ServiceName”

$InParams=$Service.psbase.getMethodParamete rs(“Change”)

$InParams[“StartName”]=$MSA

$InParams[“StartPass word”]=$Password

$Service.invokeMeth od(“Change”,$InParams,$nu ll)

6.MSA賬號移除

（1）使用如下命令將MSA賬號從本地計算機上移除。Remove-ADServiceAccount–identity

（2）在域控上使用如下命令將MSA賬號從域里刪除。（如果僅僅是將MSA賬號從當前的計算機關聯到另外一臺計算機，不需要運行這一步。）Remove-ADComputerServiceAccount–Identity <當前關聯的計算機主機名 >-ServiceAccount

至此，我們就了解了托管服務賬號的創建和配置，以及賬號移除操作。