管理Windows Server 2012賬戶

管理和使用組托管賬戶gMSA

在Windows Server 2008中已經引入了托管賬戶的功能，該功能主要是為了解決密碼同步問題。當在系統中安裝應用程序時，其可能會創建對應的服務，對于系統服務來說，必須為其指派合適的賬戶，才可以讓其正常運行。

這些賬戶可能是系統內置的（例如 LOCAL SERVICE，NETWORK SERVICES等），也可使用域中預設的賬戶。當使用后者，為保證目標服務安全的運行，就必須定期為該賬戶設置不同的密碼，而且密碼應該合乎安全性策略。當在域活動目錄中修改了相應賬戶密碼后，在目標服務中也必須進行相同的密碼修改操作。

這樣，當每次修改密碼時，因為密碼同步無法自動完成，必須費時費力進行密碼的同步操作。

組托管賬戶gMSA可以很好地解決上述問題，其不僅可以實現密碼同步修改，而且連密碼的修改都是由系統自動完成的。這樣對于系統服務的維護就變的簡單了許多，保證了服務的正常運作。

當部署多臺服務器實現同一個服務時（例如實現IIS的負載均衡等），在每臺服務器上都會使用相同的賬戶，就可以使用組托管賬戶來進行有效管理。

針對IIS負載均衡，這里使用了WebSrv1和WebSrv2兩臺服務器。在域控上打開Active Directory管理中心窗口，在左側選擇“xxx(本地)”項，“xxx”為具體的域名，在右側選擇“Computers”項，在右側點擊“新建”→“計算機”項，在打開窗口（如圖1）中“計算機名”欄中輸入“WebSrv1”，點擊確定按鈕，創建該計算機項。

圖1 新建計算機項目

按照同樣的方法 ，創建名為“WebSrv2”的計算機項。在上述菜單上點擊“新建”→“組”項，在打開窗口中輸入組名為“IISGroup”，在左側點擊“成員”項，點擊“添加”按鈕，在選擇用戶、聯系人、計算機、服務賬戶或組窗口點擊“對象類型”按鈕，再將上述服務器添加進來。……