华南俳烁实业有限公司

　　今天部署AD RMS的時候，需要為RMS單獨創(chuàng)建一個服務(wù)賬號，于是聯(lián)想起Server 2008 R2中的一個新功能：托管服務(wù)賬號。首先我們先了解一下它是什么吧?

　　托管服務(wù)帳號：由于對運行的服務(wù)的域用戶賬號密碼管理起來較麻煩，因此托管服務(wù)帳號(Managed Service Account)應(yīng)運而生。所謂托管服務(wù)帳號，也即委托給操作系統(tǒng)進行管理的帳號。托管服務(wù)帳號(MSA)的密碼由操作系統(tǒng)自動設(shè)定、維護，定期自動更新，并不需要管理員手工干預(yù)，對管理員來說，好像此帳號沒有密碼一樣。

　　托管服務(wù)帳號(MSA)的作用

　　托管服務(wù)賬號使得服務(wù)相互隔離，需要單獨進行自動密碼管理

　　減少服務(wù)中斷，從而降低TCO

　　對于每服務(wù)或每服務(wù)器使用單一的托管服務(wù)賬號(服務(wù)賬號不能被多臺計算機共享)

　　在Windows Server 2008 R2域功能級別上能更好的進行SPN管理(允許服務(wù)器對服務(wù)賬號的重命名)

　　了解完托管服務(wù)賬號，我們來創(chuàng)建一個RMS服務(wù)賬號吧!

　　1. 創(chuàng)建MSA帳號：

　　登陸到DC上，以管理員身份打開Powershell,輸入New-ADServiceAccount 進行服務(wù)賬號創(chuàng)建。

　　2.安裝MSA帳號

　　創(chuàng)建帳號完成之后，就可以進行MSA帳號的安裝操作了。在一臺Windows Server 2008 R2的成員服務(wù)器或Windows 7的客戶端計算機上安裝托管服務(wù)賬號，我這里的環(huán)境是Server 2012做為域成員服務(wù)器部署RMS.

　　以管理員身份打開PowerShell,輸入Install-ADServiceAccount命令。

　　3. 為服務(wù)分配MSA帳號

　　打開服務(wù)控制管理器，展開配置-服務(wù)，在右側(cè)雙擊所需配置的服務(wù)，在登錄標簽頁下，選擇"此賬戶"-"瀏覽",導(dǎo)航到之前創(chuàng)建的MSA帳號，點擊確定。使用該服務(wù)以選定MSA帳號運行。