jco*_*and 5 active-directory managed-service-accounts
托管服务帐户是否需要域?
我正在尝试设置一个独立服务器(无域)来添加托管服务帐户以分配给正在运行的服务,而不是创建本地用户帐户。
我更喜欢使用 Powershell cmdlet 来自动执行此任务,但我也可以使用 cmd 工具等。
目标是使用标准(普通计算机有 AD,因此我们有 AD 管理的 MSA)进程运行内部服务,但不需要用于演示目的的域。
这可能吗?
或者,如果有类似的无密码方法来执行此操作,我也将不胜感激。
托管服务帐户不是 Windows Server 的功能,而是 Active Directory 的功能。
\n\n\n\n\nMSA\xe2\x80\x99s 允许您在 Active Directory 中创建与特定计算机绑定的帐户。
\n
这就是它的工作原理:
\n\n\n\n\nWindows Server 2008 R2 AD 架构引入了一个名为 的新对象类
\n\nmsDS-ManagedServiceAccount。- -对象同时是用户和计算机,就像计算机帐户一样。但它不具有像计算机帐户通常那样的人员对象类;相反,它有
\n\nmsDS-ManagedServiceAccount。MSA\xe2\x80\x99s 继承自\xe2\x80\x9cComputer\xe2\x80\x9d 的父对象类,但它们也是用户。- -MSA 是一种准计算机对象,它使用与计算机对象相同的密码更新机制。因此,当计算机更新其密码时,MSA 帐户密码也会更新。
\n
因此,没有域就不可能有 MSA,并且AD DS 管理 Cmdlet只能在域控制器上运行。(这是每个人都有的暗示AD,比如Get-ADServiceAccount。)
如果您不想将此演示环境作为现有域的一部分,您可以轻松创建一个单独的演示域(或使用虚拟帐户,如评论中所述)。如果演示服务器的目的是在生产中使用配置之前在相同的环境中测试您的配置,那么创建新域可能是一个选项。
\n| 归档时间: |
|
| 查看次数: |
2373 次 |
| 最近记录: |