管理Windows Server 2012账户

管理和使用组托管账户gMSA

在Windows Server 2008中已经引入了托管账户的功能，该功能主要是为了解决密码同步问题。当在系统中安装应用程序时，其可能会创建对应的服务，对于系统服务来说，必须为其指派合适的账户，才可以让其正常运行。

这些账户可能是系统内置的（例如 LOCAL SERVICE，NETWORK SERVICES等），也可使用域中预设的账户。当使用后者，为保证目标服务安全的运行，就必须定期为该账户设置不同的密码，而且密码应该合乎安全性策略。当在域活动目录中修改了相应账户密码后，在目标服务中也必须进行相同的密码修改操作。

这样，当每次修改密码时，因为密码同步无法自动完成，必须费时费力进行密码的同步操作。

组托管账户gMSA可以很好地解决上述问题，其不仅可以实现密码同步修改，而且连密码的修改都是由系统自动完成的。这样对于系统服务的维护就变的简单了许多，保证了服务的正常运作。

当部署多台服务器实现同一个服务时（例如实现IIS的负载均衡等），在每台服务器上都会使用相同的账户，就可以使用组托管账户来进行有效管理。

针对IIS负载均衡，这里使用了WebSrv1和WebSrv2两台服务器。在域控上打开Active Directory管理中心窗口，在左侧选择“xxx(本地)”项，“xxx”为具体的域名，在右侧选择“Computers”项，在右侧点击“新建”→“计算机”项，在打开窗口（如图1）中“计算机名”栏中输入“WebSrv1”，点击确定按钮，创建该计算机项。

图1 新建计算机项目

按照同样的方法 ，创建名为“WebSrv2”的计算机项。在上述菜单上点击“新建”→“组”项，在打开窗口中输入组名为“IISGroup”，在左侧点击“成员”项，点击“添加”按钮，在选择用户、联系人、计算机、服务账户或组窗口点击“对象类型”按钮，再将上述服务器添加进来。

打开DNS控制台，在左侧选择“正常查找区域”→“xxx.com”项，在右侧点击右键，在弹出菜单中选择“新建主机”项，在打开窗口中的“名称”栏中输入“www”，在“IP地址”栏中输入合适的IP，点击确定按钮，创建该A记录。

这样，当用户访问“www.xxx.com”时，就会访问目标网站，而IIS服务是由上述两个服务器组成的负载均衡群集来提供的。

打开活动目录站点和服务窗口，点击菜单“查看”→“显示服务节点”项，在左侧选择“Services”→“Group Key Distribution Service” →“Server Configuration” 项， 在右侧如果显示“Group Key Distribution Service Server Configuration”项，说明组密钥分发服务已经在活动目录中成功注册。

打 开Windows Power Shell界面，执行“Import-Module activedirectory”命令，导入活动目录的PowerShell管理工具。

执 行“Add-KdsRootKey-EffectiveImmediately”命令，创建Key Distribution Service根密钥，该密钥在十个小时之后生效，在返回的“Guid”栏中显示具体的全局唯一标识符信息。

在活动目录站点和服务窗口左侧选择“Services” →“Group Key Distribution Service” →“Master Root Keys”项，可以看到两者的GUID是相同的。执行“New-ADServiceAccount-name ztgzh-DNSHostName www.xxx.com-PrincipalsAllow edToRetrieveManagedPass word iisgroup”，新建组托管账户，其名称为“ztgzh”。同时指定DNS主机名称，这里为上述Web站点地址。并指定访问组的名称（这里为“IISGroup”），使其可以获取上述密码，以同步服务账户的密钥。

如果出现“New→ ADServiceAccount:该项不存在”的提示，说明上述密钥还没有生效，必须经过十个小时后方可。

当该命令成功执行后，就完成了概念组托管账户的创建操作。之后在上述两台服务器上分别打开PowerShell界 面， 执 行“Install-ADServiceAccount -ztgzh”命令，来安装上述组托管账户。

在WebSrv1和WebSrv2两台服务器上分别运行“services.msc”程序，打开服务器管理器，选择和IIS相关的服务，在其属性窗口中的“登录”面板中选择“此账户”项，点击“浏览”按钮，导入上述“ztgzh”账户。当然，也可以针对IIS应用程序池进行相同的设定。

组托管服务帐户在域中提供同样的功能，但也通过多个服务器对功能进行了扩展。

连接到服务器场上托管的服务时（网络负载平衡），支持相互身份验证的身份验证协议要求服务的所有实例都使用同一主体，然后将组托管服务帐户用作服务主体时，系统将管理帐户密码，而不是依靠管理员来管理密码。

Microsoft密钥发行服务提供机制来安全获得最新密钥，或获取具有Active Directory帐户的密钥标识符的特定密钥，这些密钥会定期更改。

对于组托管服务帐户来说，Windows Server 2012域控制器会计算密钥发行服务提供的密钥密码，以及组托管服务帐户的其他属性。通过和 Windows Server 2012域控进行连接，Windows Server 2012等成员主机可获得当前和以前的密码值，即通过创建组托管服务帐户，服务和服务管理员就不需要在各个服务实例之间同步密码。

管理和使用连接账户

从Windows 8开始，系统允许用户使用Live ID账户进行登录。这样，用户的配置文件信息救护同步到微软的公有云中。当用户使用相同的Live ID登录到别的主机上时，就会自动将其配置文件下载到本地，这可以有效的保证用户使用体验的一致性。

在Windows Server 2012的域环境中，如果允许用户使用Live ID进行登录的话，对于管理来说并不方便。使用连接账户，就可以使用域账户进行登录，同时可以连接到Live ID，将用户相关的配置信息上传到公有云中。

例如，在域环境中打开某台Windows 8客户机，在登录界面上使用某个Windows Live ID进行登录，之后本地的配置信息和公有云中存储的信息会进行同步。比如可以同步Hotmail邮件等。

当注销该账户后，在登录界面以某个域账户身份登录，当其想使用自己的Live ID进行数据同步的话，就需要对连接账户进行设置。在Windows 8中打开电脑设置界面，在左侧点击“用户”项，在右侧点击“连接你的Microsoft账户”按钮，将其域账户连接到Microsoft账户以同步电脑设置。

选择具体的设置项目，包括个性化设置，桌面个性化，轻松使用，语言首选项，应用设置，浏览器，其他Windows设置，密码等。点击下一步按钮，输入其Live ID账户名，点击下一步按钮，即可连接到微软的账户服务器上。

然后输入Live ID的密码，当验证通过后，可以添加相应的安全信息，点击完成按钮，连接到MicroSoft账户。这样，就可以看到当前的域账户已经连接到了对应的Microsoft账户上。然后就可以执行各种数据的同步操作。

在上述电脑设置界面中点击“断开你的Microsoft账户连接”选项，可以断开上述连接。

图2 和连接账户相关的安全设置

为了更好的使用连接账户，可以在组策略中对其统一设置。在域控上打开组策略管理器，在左侧选择“林”→“域”→“xxx.com”项，在其右键菜单上点击“在这个域中创建GPO并在此处链接”项，在弹出窗口中输入该GPO的名称（例如“LinkAccount”），点击确定按钮，完成创建操作。

在该GPO的右键菜单上点击“编辑”项，在编辑窗口左侧选择“计算机配置”→“策略”→“管理模版”→“Windows组件”→“同步你的设置”项，在右侧可以针对不同步应用设置，不同步密码，不同步桌面个性化，不同步个性化，不同步浏览器设置，不同步其他Windows设置等项目，进行必要的设置。

在左侧选择“计算 机 配 置” →“策略” →“Windows设置”→“安全设置”→“本地策略”→“安全选项”选项，在右侧双击“账户:阻止Microsoft账户”选项，在其属性窗口（如图2）中选择“定义此策略设置”项，在列表中选择“阻止Microsoft账户”项，表示阻止用户在此计算机上添加新的Microsoft账户。

选择“用户不能添加Microsoft账户”项，表示用户将不能在此计算机上创建新的Microsoft账户，不能将本地账户切换到Microsoft账户，也不能将域账户连接到Microsoft账户。

选择“用户不能添加Microsoft账户或使用该账户登录”项，表示现有的Microsoft账户将不能登录到系统中。

综上所述，使用连接账户可以保证用户体验的一致性。在域环境中，为了提高安全性，也可以禁止用户使用Microsoft账户。