定期修改賬戶的密碼是個好習慣,也可以確保安全性。通常活動目錄中的賬戶都會要求定期修改密碼。對於普通使用者賬戶來說這個並沒有什麼問題,但是對於用於服務執行的賬戶來說定期修改密碼會增加很多維護成本。所以,通常管理員會將這些賬戶勾選密碼永不過期,這樣無疑增加了風險。
windows中有託管服務賬戶managed service account這個功能。可以把密碼維護的工作交由windows自動管理,即保證了安全也降低了維護成本。
建立服務賬戶首先要在ad中生成乙個microsoft group key distribution service的根金鑰。這裡用乙個網上很流行的命令,根據當前時間減去10小時設定金鑰的有效時間。建立完成會顯示金鑰的guid。
add-kdsrootkey -effectivetime ((get-date).addhours(-10)) -verbose
如果看不到圖,請點我。
接下去就可以建立用於服務執行的賬戶了。其中dnshostname可以設定成service.contoso.lab的樣子。這裡我為了好辨認,直接配置了計算機fqdn。另外,需要指定哪些計算機可以使用這個服務賬戶。可以是安全組,也可以是計算機賬戶
new-adserviceaccount msa-client -displayname "msa client test" -dnshostname client-233.contoso.lab -principalsallowedtoretrievemanagedpassword client-233$
新增完畢後可以使用命令驗證一下。
同時在ad的使用者和計算機管理單元裡也能直接看到這個剛剛建立出來的託管服務賬戶。
接下去,我們就使用這個賬戶來執行windows time服務。直接在服務管理裡,把登入賬戶改成域中的msa-client賬戶,密碼留空。
系統會自動把它加到組策略的log on as a service的許可權表裡。並提示,新的登入名直到下次服務啟動後才生效。
但是,我發現這樣仍然不能啟動windows time服務。
經過查證,需要將這個賬戶加入generate security audit的使用者許可權分配中。根據不同的服務,系統會有不同的許可權要求,其它服務不一定需要這個許可權。新增完畢後,就能正常啟動windows time服務了。
如果要把服務改回local system account執行的時候,你會發現整個頁面都變灰了,無法修改。
這個時候就要用到傳統的sc命令了,雖然老,但是很有效。
重啟服務後,恢復原樣。
託管服務引擎
託管服務引擎 managed services engine,mse 通過服務倉儲對服務進行虛擬化,幫助組織快速部署服務,協調管理變化以及最大化地重用各種服務元素。mse支援對服務進行版本控制 抽象 管理 路由以及執行時策略強制。服務虛擬化在soa領域內是乙個新興的發展趨勢,它專注於提供乙個通用的基...
託管服務引擎
託管服務引擎 managed services engine,mse 通過服務倉儲對服務進行虛擬化,幫助組織快速部署服務,協調管理變化以及最大化地重用各種服務元素。mse支援對服務進行版本控制 抽象 管理 路由以及執行時策略強制。服務虛擬化在soa領域內是乙個新興的發展趨勢,它專注於提供乙個通用的基...
WCF 服務託管
wcf中託管服務一般有一下四種 console寄宿 利於開發除錯,但不是生產環境中的最佳實踐。winform寄宿 方便與使用者進行互動,使用者想開就開,想關就關,但如果機器重啟了,不得不自己手動開一下,危險 麻煩。iis寄宿 此寄宿在實戰專案中得到了廣泛的應用。好處有 隨系統啟動和停止。iis有大量...