Windows Server 2008 R2託管服務賬戶的功能

 　　今天部署AD RMS的時候，需要為RMS單獨建立一個服務帳號，於是聯想起Server 2008 R2中的一個新功能：託管服務帳號。首先我們先瞭解一下它是什麼吧?

　　託管服務帳號：由於對啟動並執行服務的域使用者帳號密碼管理起來較麻煩，因此託管服務帳號(Managed Service Account)應運而生。所謂託管服務帳號，也即委託給作業系統進行管理的帳號。託管服務帳號(MSA)的密碼由作業系統自動設定、維護，定期自動更新，並不需要管理員手工幹預，對管理員來說，好像此帳號沒有密碼一樣。

　　託管服務帳號(MSA)的作用

　　託管服務帳號使得服務相互隔離，需要單獨進行自動密碼管理

　　減少服務中斷，從而降低TCO

　　對於每服務或每伺服器使用單一的託管服務帳號(服務帳號不能被多台電腦共用)

　　在Windows Server 2008 R2域功能層級上能更好的進行SPN管理(允許伺服器對服務帳號的重新命名)

　　瞭解完託管服務帳號，我們來建立一個RMS服務帳號吧!

　　1. 建立MSA帳號：

　　登陸到DC上，以管理員身份開啟Powershell,輸入New-ADServiceAccount 進行服務帳號建立。

　　2.安裝MSA帳號

　　建立帳號完成之後，就可以進行MSA帳號的安裝操作了。在一台Windows Server 2008 R2的成員伺服器或Windows 7的用戶端電腦上安裝託管服務帳號，我這裡的環境是Server 2012做為域成員伺服器部署RMS.

　　以管理員身份開啟PowerShell,輸入Install-ADServiceAccount命令。

　　3. 為服務分配MSA帳號

　　開啟服務控制管理員，展開配置-服務，在右側雙擊所需配置的服務，在登入標籤頁下，選擇"此賬戶"-"瀏覽",導航到之前建立的MSA帳號，點擊確定。使用該服務以選定MSA帳號運行。