Active-Directory

託管服務帳戶是否需要域?

  • May 3, 2017

託管服務帳戶是否需要域?

我正在嘗試設置一個獨立伺服器(無域)來添加託管服務帳戶以分配給正在執行的服務,而不是創建本地使用者帳戶。

我更喜歡使用 Powershell cmdlet 來自動執行此任務,但我也可以使用 cmd 工具等。

目標是使用標準(普通電腦有 AD,所以我們有 AD 管理的 MSA)流程執行內部服務,但不需要域用於展示目的。

這可能嗎?

或者,如果有類似的無密碼方法可以做到這一點,我也會很感激使用它。

託管服務帳戶不是 Windows Server 的功能,而是 Active Directory 的功能。

MSA 允許您在與特定電腦綁定的 Active Directory 中創建帳戶。

這就是它的工作原理:

Windows Server 2008 R2 AD 架構引入了一個名為msDS-ManagedServiceAccount. - -

對象同時是使用者和電腦,就像電腦帳戶一樣。但它沒有像電腦帳戶通常那樣的人的對像類;相反,它有msDS-ManagedServiceAccount. MSA 繼承自“電腦”的父對像類,但它們也是使用者。- -

MSA 是一個準電腦對象,它利用與電腦對象相同的密碼更新機制。因此,MSA 帳戶密碼會在電腦更新其密碼時更新。

因此,沒有域的 MSA 是不可能的,並且AD DS 管理 Cmdlet僅適用於域控制器。(這是每個人都有的暗示AD,比如Get-ADServiceAccount。)

如果您不想將此展示環境作為現有域的一部分,您可以輕鬆創建一個單獨的展示域(或使用虛擬帳戶,如評論中所述)。如果您的展示伺服器的目的是在生產環境中使用它之前在相同的環境中測試您的配置,則可以選擇創建一個新域。

引用自:https://serverfault.com/questions/847862