What's New for Managed Service Accounts
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
這個適用於 IT 專業人員的主題說明受管理服務帳戶的功能變更,並介紹 Windows Server 2012 和 Windows 8 中的群組受管理的服務帳戶 (gMSA)。
受管理的服務帳戶主要用於提供服務與工作,例如 Windows 服務和 IIS 應用程式集區,以共用自己的網域帳戶,同時讓系統管理員不需手動管理這些帳戶的密碼。 這是一個提供自動密碼管理的受管理的網域帳戶。
Windows Server 2012 與 Windows 8 中的受管理服務帳戶的新功能
以下說明 Windows Server 2012 和 Windows 8 中的 MSA 功能變更。
群組受管理的服務帳戶
在網域中為伺服器設定網域帳戶時,用戶端電腦可以驗證並連接至該服務。 之前只有兩種帳戶類型在不需要密碼管理的情況下提供身分識別。 但是這些帳戶類型有所限制:
電腦帳戶限制為一個網域伺服器,而且密碼受到電腦管理。
受管理的服務帳戶限制為一個網域伺服器,而且密碼受到電腦管理。
這些帳戶無法跨多個系統進行共用。 因此,您必須定期維護每個系統上的每個服務的帳戶,以防不必要的密碼過期狀況。
這個變更帶來什麼新價值?
群組受管理的服務帳戶可解決這個問題,因為帳戶密碼是由 Windows Server 2012 網域控制站管理,而且可以由多個 Windows Server 2012 系統擷取。 這允許 Windows 處理這些帳戶的密碼管理,將服務帳戶的管理負擔降至最低。
運作方式有哪些不同?
在執行 Windows Server 2012 或 Windows 8 的電腦上,可以透過服務控制管理員建立與管理群組 MSA,讓您可以從一部伺服器管理多個服務執行個體,例如透過伺服器陣列進行部署。 您用來管理受管理的服務帳戶的工具和公用程式,例如 IIS 應用程式集區管理員,可以搭配群組受管理的服務帳戶使用。 網域管理員可以將服務管理委派給服務管理員,以管理受管理的服務帳戶或群組受管理的服務帳戶的整個週期。 現有的用戶端電腦將能夠向任何這種服務進行驗證,而不需要知道它們向哪個服務執行個體進行驗證。
已移除或過時的功能
在 Windows Server 2012,Windows PowerShell Cmdlet 預設為管理群組受管理的服務帳戶,而非伺服器受管理的服務帳戶。