管理Windows Server 2012賬戶

管理和使用組托管賬戶gMSA

在Windows Server 2008中已經(jīng)引入了托管賬戶的功能，該功能主要是為了解決密碼同步問(wèn)題。當(dāng)在系統(tǒng)中安裝應(yīng)用程序時(shí)，其可能會(huì)創(chuàng)建對(duì)應(yīng)的服務(wù)，對(duì)于系統(tǒng)服務(wù)來(lái)說(shuō)，必須為其指派合適的賬戶，才可以讓其正常運(yùn)行。

這些賬戶可能是系統(tǒng)內(nèi)置的（例如 LOCAL SERVICE，NETWORK SERVICES等），也可使用域中預(yù)設(shè)的賬戶。當(dāng)使用后者，為保證目標(biāo)服務(wù)安全的運(yùn)行，就必須定期為該賬戶設(shè)置不同的密碼，而且密碼應(yīng)該合乎安全性策略。當(dāng)在域活動(dòng)目錄中修改了相應(yīng)賬戶密碼后，在目標(biāo)服務(wù)中也必須進(jìn)行相同的密碼修改操作。

這樣，當(dāng)每次修改密碼時(shí)，因?yàn)槊艽a同步無(wú)法自動(dòng)完成，必須費(fèi)時(shí)費(fèi)力進(jìn)行密碼的同步操作。

組托管賬戶gMSA可以很好地解決上述問(wèn)題，其不僅可以實(shí)現(xiàn)密碼同步修改，而且連密碼的修改都是由系統(tǒng)自動(dòng)完成的。這樣對(duì)于系統(tǒng)服務(wù)的維護(hù)就變的簡(jiǎn)單了許多，保證了服務(wù)的正常運(yùn)作。

當(dāng)部署多臺(tái)服務(wù)器實(shí)現(xiàn)同一個(gè)服務(wù)時(shí)（例如實(shí)現(xiàn)IIS的負(fù)載均衡等），在每臺(tái)服務(wù)器上都會(huì)使用相同的賬戶，就可以使用組托管賬戶來(lái)進(jìn)行有效管理。

針對(duì)IIS負(fù)載均衡，這里使用了WebSrv1和WebSrv2兩臺(tái)服務(wù)器。在域控上打開(kāi)Active Directory管理中心窗口，在左側(cè)選擇“xxx(本地)”項(xiàng)，“xxx”為具體的域名，在右側(cè)選擇“Computers”項(xiàng)，在右側(cè)點(diǎn)擊“新建”→“計(jì)算機(jī)”項(xiàng)，在打開(kāi)窗口（如圖1）中“計(jì)算機(jī)名”欄中輸入“WebSrv1”，點(diǎn)擊確定按鈕，創(chuàng)建該計(jì)算機(jī)項(xiàng)。

圖1 新建計(jì)算機(jī)項(xiàng)目

按照同樣的方法 ，創(chuàng)建名為“WebSrv2”的計(jì)算機(jī)項(xiàng)。在上述菜單上點(diǎn)擊“新建”→“組”項(xiàng)，在打開(kāi)窗口中輸入組名為“IISGroup”，在左側(cè)點(diǎn)擊“成員”項(xiàng)，點(diǎn)擊“添加”按鈕，在選擇用戶、聯(lián)系人、計(jì)算機(jī)、服務(wù)賬戶或組窗口點(diǎn)擊“對(duì)象類型”按鈕，再將上述服務(wù)器添加進(jìn)來(lái)。

打開(kāi)DNS控制臺(tái)，在左側(cè)選擇“正常查找區(qū)域”→“xxx.com”項(xiàng)，在右側(cè)點(diǎn)擊右鍵，在彈出菜單中選擇“新建主機(jī)”項(xiàng)，在打開(kāi)窗口中的“名稱”欄中輸入“www”，在“IP地址”欄中輸入合適的IP，點(diǎn)擊確定按鈕，創(chuàng)建該A記錄。

這樣，當(dāng)用戶訪問(wèn)“www.xxx.com”時(shí)，就會(huì)訪問(wèn)目標(biāo)網(wǎng)站，而IIS服務(wù)是由上述兩個(gè)服務(wù)器組成的負(fù)載均衡群集來(lái)提供的。

打開(kāi)活動(dòng)目錄站點(diǎn)和服務(wù)窗口，點(diǎn)擊菜單“查看”→“顯示服務(wù)節(jié)點(diǎn)”項(xiàng)，在左側(cè)選擇“Services”→“Group Key Distribution Service” →“Server Configuration” 項(xiàng)， 在右側(cè)如果顯示“Group Key Distribution Service Server Configuration”項(xiàng)，說(shuō)明組密鑰分發(fā)服務(wù)已經(jīng)在活動(dòng)目錄中成功注冊(cè)。

打 開(kāi)Windows Power Shell界面，執(zhí)行“Import-Module activedirectory”命令，導(dǎo)入活動(dòng)目錄的PowerShell管理工具。

執(zhí) 行“Add-KdsRootKey-EffectiveImmediately”命令，創(chuàng)建Key Distribution Service根密鑰，該密鑰在十個(gè)小時(shí)之后生效，在返回的“Guid”欄中顯示具體的全局唯一標(biāo)識(shí)符信息。

在活動(dòng)目錄站點(diǎn)和服務(wù)窗口左側(cè)選擇“Services” →“Group Key Distribution Service” →“Master Root Keys”項(xiàng)，可以看到兩者的GUID是相同的。執(zhí)行“New-ADServiceAccount-name ztgzh-DNSHostName www.xxx.com-PrincipalsAllow edToRetrieveManagedPass word iisgroup”，新建組托管賬戶，其名稱為“ztgzh”。同時(shí)指定DNS主機(jī)名稱，這里為上述Web站點(diǎn)地址。并指定訪問(wèn)組的名稱（這里為“IISGroup”），使其可以獲取上述密碼，以同步服務(wù)賬戶的密鑰。

如果出現(xiàn)“New→ ADServiceAccount:該項(xiàng)不存在”的提示，說(shuō)明上述密鑰還沒(méi)有生效，必須經(jīng)過(guò)十個(gè)小時(shí)后方可。

當(dāng)該命令成功執(zhí)行后，就完成了概念組托管賬戶的創(chuàng)建操作。之后在上述兩臺(tái)服務(wù)器上分別打開(kāi)PowerShell界 面， 執(zhí) 行“Install-ADServiceAccount -ztgzh”命令，來(lái)安裝上述組托管賬戶。

在WebSrv1和WebSrv2兩臺(tái)服務(wù)器上分別運(yùn)行“services.msc”程序，打開(kāi)服務(wù)器管理器，選擇和IIS相關(guān)的服務(wù)，在其屬性窗口中的“登錄”面板中選擇“此賬戶”項(xiàng)，點(diǎn)擊“瀏覽”按鈕，導(dǎo)入上述“ztgzh”賬戶。當(dāng)然，也可以針對(duì)IIS應(yīng)用程序池進(jìn)行相同的設(shè)定。

組托管服務(wù)帳戶在域中提供同樣的功能，但也通過(guò)多個(gè)服務(wù)器對(duì)功能進(jìn)行了擴(kuò)展。

連接到服務(wù)器場(chǎng)上托管的服務(wù)時(shí)（網(wǎng)絡(luò)負(fù)載平衡），支持相互身份驗(yàn)證的身份驗(yàn)證協(xié)議要求服務(wù)的所有實(shí)例都使用同一主體，然后將組托管服務(wù)帳戶用作服務(wù)主體時(shí)，系統(tǒng)將管理帳戶密碼，而不是依靠管理員來(lái)管理密碼。

Microsoft密鑰發(fā)行服務(wù)提供機(jī)制來(lái)安全獲得最新密鑰，或獲取具有Active Directory帳戶的密鑰標(biāo)識(shí)符的特定密鑰，這些密鑰會(huì)定期更改。

對(duì)于組托管服務(wù)帳戶來(lái)說(shuō)，Windows Server 2012域控制器會(huì)計(jì)算密鑰發(fā)行服務(wù)提供的密鑰密碼，以及組托管服務(wù)帳戶的其他屬性。通過(guò)和 Windows Server 2012域控進(jìn)行連接，Windows Server 2012等成員主機(jī)可獲得當(dāng)前和以前的密碼值，即通過(guò)創(chuàng)建組托管服務(wù)帳戶，服務(wù)和服務(wù)管理員就不需要在各個(gè)服務(wù)實(shí)例之間同步密碼。

管理和使用連接賬戶

從Windows 8開(kāi)始，系統(tǒng)允許用戶使用Live ID賬戶進(jìn)行登錄。這樣，用戶的配置文件信息救護(hù)同步到微軟的公有云中。當(dāng)用戶使用相同的Live ID登錄到別的主機(jī)上時(shí)，就會(huì)自動(dòng)將其配置文件下載到本地，這可以有效的保證用戶使用體驗(yàn)的一致性。

在Windows Server 2012的域環(huán)境中，如果允許用戶使用Live ID進(jìn)行登錄的話，對(duì)于管理來(lái)說(shuō)并不方便。使用連接賬戶，就可以使用域賬戶進(jìn)行登錄，同時(shí)可以連接到Live ID，將用戶相關(guān)的配置信息上傳到公有云中。

例如，在域環(huán)境中打開(kāi)某臺(tái)Windows 8客戶機(jī)，在登錄界面上使用某個(gè)Windows Live ID進(jìn)行登錄，之后本地的配置信息和公有云中存儲(chǔ)的信息會(huì)進(jìn)行同步。比如可以同步Hotmail郵件等。

當(dāng)注銷該賬戶后，在登錄界面以某個(gè)域賬戶身份登錄，當(dāng)其想使用自己的Live ID進(jìn)行數(shù)據(jù)同步的話，就需要對(duì)連接賬戶進(jìn)行設(shè)置。在Windows 8中打開(kāi)電腦設(shè)置界面，在左側(cè)點(diǎn)擊“用戶”項(xiàng)，在右側(cè)點(diǎn)擊“連接你的Microsoft賬戶”按鈕，將其域賬戶連接到Microsoft賬戶以同步電腦設(shè)置。

選擇具體的設(shè)置項(xiàng)目，包括個(gè)性化設(shè)置，桌面?zhèn)€性化，輕松使用，語(yǔ)言首選項(xiàng)，應(yīng)用設(shè)置，瀏覽器，其他Windows設(shè)置，密碼等。點(diǎn)擊下一步按鈕，輸入其Live ID賬戶名，點(diǎn)擊下一步按鈕，即可連接到微軟的賬戶服務(wù)器上。

然后輸入Live ID的密碼，當(dāng)驗(yàn)證通過(guò)后，可以添加相應(yīng)的安全信息，點(diǎn)擊完成按鈕，連接到MicroSoft賬戶。這樣，就可以看到當(dāng)前的域賬戶已經(jīng)連接到了對(duì)應(yīng)的Microsoft賬戶上。然后就可以執(zhí)行各種數(shù)據(jù)的同步操作。

在上述電腦設(shè)置界面中點(diǎn)擊“斷開(kāi)你的Microsoft賬戶連接”選項(xiàng)，可以斷開(kāi)上述連接。

圖2 和連接賬戶相關(guān)的安全設(shè)置

為了更好的使用連接賬戶，可以在組策略中對(duì)其統(tǒng)一設(shè)置。在域控上打開(kāi)組策略管理器，在左側(cè)選擇“林”→“域”→“xxx.com”項(xiàng)，在其右鍵菜單上點(diǎn)擊“在這個(gè)域中創(chuàng)建GPO并在此處鏈接”項(xiàng)，在彈出窗口中輸入該GPO的名稱（例如“LinkAccount”），點(diǎn)擊確定按鈕，完成創(chuàng)建操作。

在該GPO的右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在編輯窗口左側(cè)選擇“計(jì)算機(jī)配置”→“策略”→“管理模版”→“Windows組件”→“同步你的設(shè)置”項(xiàng)，在右側(cè)可以針對(duì)不同步應(yīng)用設(shè)置，不同步密碼，不同步桌面?zhèn)€性化，不同步個(gè)性化，不同步瀏覽器設(shè)置，不同步其他Windows設(shè)置等項(xiàng)目，進(jìn)行必要的設(shè)置。

在左側(cè)選擇“計(jì)算 機(jī) 配 置” →“策略” →“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“安全選項(xiàng)”選項(xiàng)，在右側(cè)雙擊“賬戶:阻止Microsoft賬戶”選項(xiàng)，在其屬性窗口（如圖2）中選擇“定義此策略設(shè)置”項(xiàng)，在列表中選擇“阻止Microsoft賬戶”項(xiàng)，表示阻止用戶在此計(jì)算機(jī)上添加新的Microsoft賬戶。

選擇“用戶不能添加Microsoft賬戶”項(xiàng)，表示用戶將不能在此計(jì)算機(jī)上創(chuàng)建新的Microsoft賬戶，不能將本地賬戶切換到Microsoft賬戶，也不能將域賬戶連接到Microsoft賬戶。

選擇“用戶不能添加Microsoft賬戶或使用該賬戶登錄”項(xiàng)，表示現(xiàn)有的Microsoft賬戶將不能登錄到系統(tǒng)中。

綜上所述，使用連接賬戶可以保證用戶體驗(yàn)的一致性。在域環(huán)境中，為了提高安全性，也可以禁止用戶使用Microsoft賬戶。