Требуется ли для управляемой учетной записи службы домен?

Question

Требуется ли для управляемой учетной записи службы домен?

Я пытаюсь настроить автономный сервер (без домена) для добавления управляемых учетных записей служб, чтобы назначать их для запуска служб вместо создания учетных записей локальных пользователей.

Я бы предпочел использовать командлеты Powershell для автоматизации этой задачи, но я также хорошо использую инструменты cmd или тому подобное.

Цель состоит в том, чтобы запустить внутренние службы с использованием стандартного (обычные компьютеры имеют AD, поэтому у нас есть MSA, управляемые AD), но без использования домена для демонстрационных целей.

Это возможно?

С другой стороны, если бы существовал подобный метод без пароля, я был бы также признателен за это.

5

active-directory managed-service-accounts

Источник

jcolebrand 02 май '17 в 19:22

1 ответ

Решение

Другие вопросы по тегам active-directory managed-service-accounts

Esa Jokinen 02 май '17 в 19:44 2017-05-02 19:44 · Accepted Answer · 2017-05-02 19:44

Управляемые учетные записи служб - это не функция Windows Server, а Active Directory.

MSA позволяют вам создать учетную запись в Active Directory, которая привязана к определенному компьютеру.

И вот как это работает:

Схема AD Windows Server 2008 R2 представляет новый класс объектов под названием msDS-ManagedServiceAccount, - -
Объект одновременно является пользователем и компьютером, точно так же, как учетная запись компьютера. Но у него нет класса объектов, как обычно бывает у учетной записи компьютера; вместо этого msDS-ManagedServiceAccount, MSA наследуют от родительского объекта класса "Компьютер", но они также являются пользователями. - -
MSA - это квази-компьютерный объект, который использует тот же механизм обновления пароля, который используется компьютерными объектами. Таким образом, пароль учетной записи MSA обновляется, когда компьютер обновляет свой пароль.

Поэтому невозможно иметь MSA без домена, а командлеты администрирования AD DS работают только на контроллере домена. (Это намек на то, что каждый имеет AD в нем вроде Get-ADServiceAccount.)

Если вы не хотите, чтобы эта демонстрационная среда была частью существующего домена, вы можете легко создать отдельный демонстрационный домен (или использовать вместо этого виртуальные учетные записи, как указано в комментариях). Создание нового домена может быть вариантом, если целью вашего демонстрационного сервера является тестирование вашей конфигурации в идентичной среде, прежде чем использовать ее в рабочей среде.