管理Windows Server 2012賬戶

管理和使用組托管賬戶gMSA

在Windows Server 2008中已經引入了托管賬戶的功能，該功能主要是為了解決密碼同步問題。當在系統中安裝應用程序時，其可能會創建對應的服務，對于系統服務來說，必須為其指派合適的賬戶，才可以讓其正常運行。

這些賬戶可能是系統內置的（例如 LOCAL SERVICE，NETWORK SERVICES等），也可使用域中預設的賬戶。當使用后者，為保證目標服務安全的運行，就必須定期為該賬戶設置不同的密碼，而且密碼應該合乎安全性策略。當在域活動目錄中修改了相應賬戶密碼后，在目標服務中也必須進行相同的密碼修改操作。

這樣，當每次修改密碼時，因為密碼同步無法自動完成，必須費時費力進行密碼的同步操作。

組托管賬戶gMSA可以很好地解決上述問題，其不僅可以實現密碼同步修改，而且連密碼的修改都是由系統自動完成的。這樣對于系統服務的維護就變的簡單了許多，保證了服務的正常運作。

當部署多臺服務器實現同一個服務時（例如實現IIS的負載均衡等），在每臺服務器上都會使用相同的賬戶，就可以使用組托管賬戶來進行有效管理。

針對IIS負載均衡，這里使用了WebSrv1和WebSrv2兩臺服務器。在域控上打開Active Directory管理中心窗口，在左側選擇“xxx(本地)”項，“xxx”為具體的域名，在右側選擇“Computers”項，在右側點擊“新建”→“計算機”項，在打開窗口（如圖1）中“計算機名”欄中輸入“WebSrv1”，點擊確定按鈕，創建該計算機項。

圖1 新建計算機項目

按照同樣的方法 ，創建名為“WebSrv2”的計算機項。在上述菜單上點擊“新建”→“組”項，在打開窗口中輸入組名為“IISGroup”，在左側點擊“成員”項，點擊“添加”按鈕，在選擇用戶、聯系人、計算機、服務賬戶或組窗口點擊“對象類型”按鈕，再將上述服務器添加進來。

打開DNS控制臺，在左側選擇“正常查找區域”→“xxx.com”項，在右側點擊右鍵，在彈出菜單中選擇“新建主機”項，在打開窗口中的“名稱”欄中輸入“www”，在“IP地址”欄中輸入合適的IP，點擊確定按鈕，創建該A記錄。

這樣，當用戶訪問“www.xxx.com”時，就會訪問目標網站，而IIS服務是由上述兩個服務器組成的負載均衡群集來提供的。

打開活動目錄站點和服務窗口，點擊菜單“查看”→“顯示服務節點”項，在左側選擇“Services”→“Group Key Distribution Service” →“Server Configuration” 項， 在右側如果顯示“Group Key Distribution Service Server Configuration”項，說明組密鑰分發服務已經在活動目錄中成功注冊。

打 開Windows Power Shell界面，執行“Import-Module activedirectory”命令，導入活動目錄的PowerShell管理工具。

執 行“Add-KdsRootKey-EffectiveImmediately”命令，創建Key Distribution Service根密鑰，該密鑰在十個小時之后生效，在返回的“Guid”欄中顯示具體的全局唯一標識符信息。

在活動目錄站點和服務窗口左側選擇“Services” →“Group Key Distribution Service” →“Master Root Keys”項，可以看到兩者的GUID是相同的。執行“New-ADServiceAccount-name ztgzh-DNSHostName www.xxx.com-PrincipalsAllow edToRetrieveManagedPass word iisgroup”，新建組托管賬戶，其名稱為“ztgzh”。同時指定DNS主機名稱，這里為上述Web站點地址。并指定訪問組的名稱（這里為“IISGroup”），使其可以獲取上述密碼，以同步服務賬戶的密鑰。

如果出現“New→ ADServiceAccount:該項不存在”的提示，說明上述密鑰還沒有生效，必須經過十個小時后方可。

當該命令成功執行后，就完成了概念組托管賬戶的創建操作。之后在上述兩臺服務器上分別打開PowerShell界 面， 執 行“Install-ADServiceAccount -ztgzh”命令，來安裝上述組托管賬戶。

在WebSrv1和WebSrv2兩臺服務器上分別運行“services.msc”程序，打開服務器管理器，選擇和IIS相關的服務，在其屬性窗口中的“登錄”面板中選擇“此賬戶”項，點擊“瀏覽”按鈕，導入上述“ztgzh”賬戶。當然，也可以針對IIS應用程序池進行相同的設定。

組托管服務帳戶在域中提供同樣的功能，但也通過多個服務器對功能進行了擴展。

連接到服務器場上托管的服務時（網絡負載平衡），支持相互身份驗證的身份驗證協議要求服務的所有實例都使用同一主體，然后將組托管服務帳戶用作服務主體時，系統將管理帳戶密碼，而不是依靠管理員來管理密碼。

Microsoft密鑰發行服務提供機制來安全獲得最新密鑰，或獲取具有Active Directory帳戶的密鑰標識符的特定密鑰，這些密鑰會定期更改。

對于組托管服務帳戶來說，Windows Server 2012域控制器會計算密鑰發行服務提供的密鑰密碼，以及組托管服務帳戶的其他屬性。通過和 Windows Server 2012域控進行連接，Windows Server 2012等成員主機可獲得當前和以前的密碼值，即通過創建組托管服務帳戶，服務和服務管理員就不需要在各個服務實例之間同步密碼。

管理和使用連接賬戶

從Windows 8開始，系統允許用戶使用Live ID賬戶進行登錄。這樣，用戶的配置文件信息救護同步到微軟的公有云中。當用戶使用相同的Live ID登錄到別的主機上時，就會自動將其配置文件下載到本地，這可以有效的保證用戶使用體驗的一致性。

在Windows Server 2012的域環境中，如果允許用戶使用Live ID進行登錄的話，對于管理來說并不方便。使用連接賬戶，就可以使用域賬戶進行登錄，同時可以連接到Live ID，將用戶相關的配置信息上傳到公有云中。

例如，在域環境中打開某臺Windows 8客戶機，在登錄界面上使用某個Windows Live ID進行登錄，之后本地的配置信息和公有云中存儲的信息會進行同步。比如可以同步Hotmail郵件等。

當注銷該賬戶后，在登錄界面以某個域賬戶身份登錄，當其想使用自己的Live ID進行數據同步的話，就需要對連接賬戶進行設置。在Windows 8中打開電腦設置界面，在左側點擊“用戶”項，在右側點擊“連接你的Microsoft賬戶”按鈕，將其域賬戶連接到Microsoft賬戶以同步電腦設置。

選擇具體的設置項目，包括個性化設置，桌面個性化，輕松使用，語言首選項，應用設置，瀏覽器，其他Windows設置，密碼等。點擊下一步按鈕，輸入其Live ID賬戶名，點擊下一步按鈕，即可連接到微軟的賬戶服務器上。

然后輸入Live ID的密碼，當驗證通過后，可以添加相應的安全信息，點擊完成按鈕，連接到MicroSoft賬戶。這樣，就可以看到當前的域賬戶已經連接到了對應的Microsoft賬戶上。然后就可以執行各種數據的同步操作。

在上述電腦設置界面中點擊“斷開你的Microsoft賬戶連接”選項，可以斷開上述連接。

圖2 和連接賬戶相關的安全設置

為了更好的使用連接賬戶，可以在組策略中對其統一設置。在域控上打開組策略管理器，在左側選擇“林”→“域”→“xxx.com”項，在其右鍵菜單上點擊“在這個域中創建GPO并在此處鏈接”項，在彈出窗口中輸入該GPO的名稱（例如“LinkAccount”），點擊確定按鈕，完成創建操作。

在該GPO的右鍵菜單上點擊“編輯”項，在編輯窗口左側選擇“計算機配置”→“策略”→“管理模版”→“Windows組件”→“同步你的設置”項，在右側可以針對不同步應用設置，不同步密碼，不同步桌面個性化，不同步個性化，不同步瀏覽器設置，不同步其他Windows設置等項目，進行必要的設置。

在左側選擇“計算 機 配 置” →“策略” →“Windows設置”→“安全設置”→“本地策略”→“安全選項”選項，在右側雙擊“賬戶:阻止Microsoft賬戶”選項，在其屬性窗口（如圖2）中選擇“定義此策略設置”項，在列表中選擇“阻止Microsoft賬戶”項，表示阻止用戶在此計算機上添加新的Microsoft賬戶。

選擇“用戶不能添加Microsoft賬戶”項，表示用戶將不能在此計算機上創建新的Microsoft賬戶，不能將本地賬戶切換到Microsoft賬戶，也不能將域賬戶連接到Microsoft賬戶。

選擇“用戶不能添加Microsoft賬戶或使用該賬戶登錄”項，表示現有的Microsoft賬戶將不能登錄到系統中。

綜上所述，使用連接賬戶可以保證用戶體驗的一致性。在域環境中，為了提高安全性，也可以禁止用戶使用Microsoft賬戶。