试图清楚地了解是什么原因导致 AD 域服务帐户变得非交互式以及如何做到这一点?
我需要一个服务电子帐户,该帐户具有“作为服务登录”和“作为批处理登录”功能,用于 IIS 框中的服务帐户。
答案1
什么是交互式登录?
交互式登录计算机既可以在本地进行(当用户具有直接物理访问权限时),也可以通过终端服务进行远程登录(在这种情况下,登录进一步被认定为远程交互式登录)。交互式登录后,Windows 将代表用户运行应用程序,用户可以与这些应用程序进行交互。
用户可以通过使用本地用户帐户或使用其域帐户登录计算机来执行交互式登录。
Windows Server 2008 R2 AD 架构引入了一个名为 msDS-ManagedServiceAccount 的新对象类。创建一个 MSA,检查其 objectClass 属性,并注意该对象具有一个有趣的对象类继承结构:
电脑
msDS-ManagedServiceAccount
组织人员
顶部
用户
该对象既是用户又是计算机,就像计算机帐户一样。但它没有像计算机帐户通常那样具有人的对象类;相反,它具有 msDS-ManagedServiceAccount。MSA 从父对象类“计算机”继承,但它们也是用户。MSA 对象不包含 Win2008 R2 架构更新中的新属性。
如果您想创建服务帐户,请参阅:
对于您的问题,如果托管帐户不是您想要的,您可以通过创建设置该帐户的 GPO 来创建非交互式帐户;计算机配置/Windows 设置/本地策略/用户权限分配,并拒绝该用户帐户的登录权限。(https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/deny-log-on-locally)。这样,该帐户将只能用于服务