Требуется ли домен для управляемой учетной записи службы?
Я пытаюсь настроить автономный сервер (без домена) для добавления управляемых учетных записей служб для назначения для запущенных служб вместо создания учетных записей локальных пользователей.
Я бы предпочел использовать командлеты Powershell для автоматизации этой задачи, но меня также устраивают инструменты cmd и т.п.
Цель состоит в том, чтобы запускать внутренние службы с использованием стандартного процесса (на обычных компьютерах есть AD, поэтому у нас есть MSA, управляемые AD), но без использования домена для демонстрационных целей.
Это возможно?
В качестве альтернативы, если бы для этого существовал аналогичный метод без пароля, я был бы признателен за его использование.
Управляемые учетные записи служб это функция не Windows Server, а Active Directory.
MSA позволяет вам создать учетную запись в Active Directory, привязанную к определенному компьютеру.
И вот как это работает:
Схема AD Windows Server 2008 R2 представляет новый класс объектов, называемый
msDS-ManagedServiceAccount. - -Объект - это одновременно пользователь и компьютер, как и учетная запись компьютера. Но у него нет объектного класса человека, который обычно имеет учетная запись компьютера; вместо этого у него
msDS-ManagedServiceAccount. MSA унаследованы от родительского класса объекта Computer, но они также являются пользователями. - -MSA - это квазикомпьютерный объект, который использует тот же механизм обновления пароля, что и компьютерные объекты. Таким образом, пароль учетной записи MSA обновляется, когда компьютер обновляет свой пароль.
Таким образом, невозможно иметь MSA без домена и Командлеты администрирования AD DS работает только на контроллере домена. (Это намек на то, что у каждого есть AD в нем, как Get-ADServiceAccount.)
Если вы не хотите, чтобы эта демонстрационная среда была частью вашего существующего домена, вы можете легко создать отдельный демонстрационный домен (или использовать Виртуальные счета вместо этого, как указано в комментариях). Создание нового домена может быть вариантом, если целью вашего демонстрационного сервера является проверка вашей конфигурации в идентичной среде перед ее использованием в производстве.