托管服务帐户是否需要域?
我正在尝试设置一个独立服务器(无域)来添加托管服务帐户来分配运行服务,而不是创建本地用户帐户。
我更愿意使用 Powershell cmdlet 来自动执行此任务,但我也可以接受使用 cmd 工具或类似工具。
目标是使用标准(普通计算机有 AD,因此我们有 AD 管理的 MSA)流程运行内部服务,但不需要域来进行演示。
这可能吗?
或者,如果有类似的无密码方法来做到这一点,我也会很乐意使用它。
答案1
托管服务帐户不是 Windows Server 的功能而是 Active Directory 的功能。
MSA 允许您在 Active Directory 中创建与特定计算机绑定的帐户。
它的工作原理如下:
Windows Server 2008 R2 AD 架构引入了一个名为 的新对象类
msDS-ManagedServiceAccount。- -该对象既是用户又是计算机,就像计算机帐户一样。但它没有像计算机帐户通常那样具有人的对象类;相反,它有
msDS-ManagedServiceAccount。MSA 从“计算机”的父对象类继承而来,但它们也是用户。- -MSA 是一个准计算机对象,它使用与计算机对象相同的密码更新机制。因此,当计算机更新其密码时,MSA 帐户密码也会更新。
因此,没有域名就不可能拥有 MSA,而且AD DS 管理 Cmdlet仅适用于域控制器。(这是每个域控制器都有的提示AD,例如Get-ADServiceAccount。
如果你不想将此演示环境作为现有域的一部分,你可以轻松创建一个单独的演示域(或使用虚拟账户相反,就像评论中提到的那样)。如果您的演示服务器的目的是在生产中使用之前在相同的环境中测试您的配置,那么创建一个新的域可能是一个选择。