[위 에]Chapter 1 Securing Your Server and Network(3):위탁 관리 서비스 계 정 사용
,테마 목록:http://blog.csdn.net/dba_huangzj/article/details/37906349
작가 의 동의 없 이 그 누구 도'오리지널'형식 으로 발표 할 수 없고 상업 용도 로 사용 할 수 없 으 며 본인 은 어떠한 법률 적 책임 도 지지 않 습 니 다.
전편:http://blog.csdn.net/dba_huangzj/article/details/37927319
선언:
위탁 관리 서비스 계 정(Managed Servcie Account)은 Windows Server 2008 R2 에서 나타 나 서 서 비 스 를 실행 하 는 활동 디 렉 터 리 계 정 을 사용 하여 쉽게 관리 하 는 것 이 목적 입 니 다.그 전에 서비스 계 정 으로 사용 할 도 메 인 계 정 같은 유형의 사용 자 를 만들어 야 하지만 비밀번호 가 만 료 되 어 서비스 운행 에 오류 가 발생 하지 않도록 암호 정책 을 사용 하지 않 아야 합 니 다.하지만 암호 정책 을 사용 하지 않 으 면 보안 이 떨 어 집 니 다.
이러한 문 제 를 해결 하기 위해 위탁 관리 서비스 계 정 이 발생 했 습 니 다.특정한 컴퓨터 에 연 결 된 활동 디 렉 터 리 계 정 입 니 다.비밀 번 호 는 활동 디 렉 터 리 에서 자동 으로 관리 되 고 서비스 운행 에 영향 을 주지 않 는 상황 에서 정기 적 으로 비밀 번 호 를 수정 할 수 있 습 니 다.또한 Service Principal Name(SPN/서비스 주체 이름,클 라 이언 트 의 유일한 표지,후속 상세 설명)도 간소화 할 수 있 습 니 다.
실현:
위탁 관리 서비스 계 정 은 Windows Server 2008 R2 또는 Win 7 이상 에서 실행 되 어야 하 며 열 복구 패 치 를 해 야 합 니 다.http://support.microsoft.com/kb/2494158 。또한,위탁 관리 서비스 계 정 을 만 들 려 면 PowerShell 로 이 루어 져 야 하 며,이벤트 디 렉 터 리 에 PowerShell 관리 장치(Snap-In)를 설치 해 야 합 니 다.
1.PowerShell 관리 부 를 설치 하지 않 으 면 활성 디 렉 터 리 에서 서버 관리 자 를 열 고[기능]노드 를 오른쪽 단추 로 눌 러[기능 추가]를 선택 하고[원 격 서버 관리 도구]→[캐릭터 관리 도구]→[AD DS 와 AD LDS 도구]노드 에서[Windows PowerShell 의 Active Directory 모듈]을 선택 하여 설치 할 수 있 습 니 다.다음 그림:
![[置顶] Chapter 1 Securing Your Server and Network(3):使用托管服务帐号_第1张图片](https://img.md5.com/image/info5/c6d88ba3e17f424a99b6bc82b5d78e69.png "image")
![[置顶] Chapter 1 Securing Your Server and Network(3):使用托管服务帐号_第2张图片](https://img.md5.com/image/info5/67d3609c6c654330ad55e7e902b8c4c2.jpg "image")
2.활성 디 렉 터 리 에 충분 한 권한 이 있 는 계 정 으로 PowerShell 을 열 고 ActiveDirectory 모듈 가 져 오기:
Import-Module ActiveDirectory
위의 경고 가 발생 하면 ADWS 서비스 가 시작 되 지 않 았 기 때 문 입 니 다.이러한 문 제 는 보통 가상 컴퓨터 에 발생 합 니 다.임시 해결 방법 은 Powershell 에 입력 하 는 것 입 니 다.
restart-service adws근본 적 인 해결 방법 은 adws 서 비 스 를 지연 시 켜 시작 하 는 것 이다.
3.위탁 관리 계 정 만 들 기:
New-ADServiceAccount -Name SQL-SRV1 -Enabled $true
그 중에서 SQL-SRV 1 은 만 든 계 정 이름 입 니 다.
4.새로 추 가 된 계 정 을 SQL Server 컴퓨터 에 연결 합 니 다.이 예 는 기계 이름[SQL-A]에 연 결 됩 니 다.
Add-ADComputerServiceAccount -Identity SQL-A -ServiceAccount SQL-SRV15.위탁 관리 서비스 계 정 은 SQL Server 를 실행 하 는 서버 에 설치 해 야 하기 때문에 SQL-A 에서 PowerShell 을 열 고 ActiveDirectory 모듈(2 단계)을 가 져 온 다음 명령 을 입력 하 십시오.
Install-ADServiceAccount -Identity SQL-SRV1이 과정 이 잘못 되면 SQL-A(즉 도 메 인 구성원 서버)의 PowerShell 에 입력 할 수 있 습 니 다.
Import-Module ServerManager
Add-WindowsFeature RSAT-AD-PowerShell![[置顶] Chapter 1 Securing Your Server and Network(3):使用托管服务帐号_第3张图片](https://img.md5.com/image/info5/8dd97ae1867846309a90e6833d163c0e.png "image")
그리고 2 단계 명령 에 따라 모드 를 가 져 오고 입력 하 십시오:
Install-ADServiceAccount -Identity SQL-SRV1그림 과 같이
6.15 글자 가 넘 는 위탁 관리 계 정 이름 을 만 들 지 마 십시오.그렇지 않 으 면 bug 가 존재 합 니 다.
현재 당신 은 이 계 정 을 서비스 계 정 으로 사용 할 수 있 습 니 다.계 정 이름 은 반드시$기 호 를 사용 해 야 합 니 다.예 를 들 어(DOMAIN\SQL-SRV 1$).비밀번호 와 비밀번호 확인 이 비어 있 습 니 다.레 퍼 런 스http://blog.csdn.net/dba_huangzj/article/details/37924127 을 설정 합 니 다.여기 서 Windows 의 서비스 관리자 에 계 정 을 설정 해 야 합 니 다.SQL Server 설정 관리자 에 직접 설정 해 서 는 안 됩 니 다.그렇지 않 으 면 오류 가 발생 했 습 니 다.
![[置顶] Chapter 1 Securing Your Server and Network(3):使用托管服务帐号_第4张图片](https://img.md5.com/image/info5/23c1d7baad2041c3a593d5aac87a98a3.jpg "image")
서비스 관리자 에서 설정 한 후 SQL Server 설정 관리자 에서 SQL Server 서 비 스 를 다시 시작 하면 됩 니 다.다시 설정 할 필요 가 없습니다.
![[置顶] Chapter 1 Securing Your Server and Network(3):使用托管服务帐号_第5张图片](https://img.md5.com/image/info5/b5cb6e22a19e408dbf2c4148ead82846.png "image")
원리:
위탁 관리 서비스 계 정 은 단독 기계 에 연결 되 어 있 고 서비스 에 만 사용 되 기 때문에 로그 인 할 수 없고 클 러 스 터 서비스 에 도 사용 할 수 없습니다.클 러 스 터 는 서비스 계 정 이 여러 클 러 스 터 노드 를 뛰 어 넘 을 수 있어 야 하기 때 문 입 니 다.그러나 로 컬 내 장 된 계 정과 달리 위탁 관리 계 정의 이름 은 네트워크 에서 발견 되 며 네트워크 공유 자원 에 접근 할 수 있 습 니 다.
이벤트 디 렉 터 리 에 위탁 관리 계 정 을 만 들 때 비밀 번 호 를 지정 하지 않 아 도 됩 니 다.비밀 번 호 는 이벤트 디 렉 터 리 에서 자동 으로 관 리 됩 니 다.또한 암호 정책(기본 30 일)에 따라 자동 으로 새로 고침 되 며 SQL Server 서비스 에 영향 을 주지 않 습 니 다.
만 든 후에 이벤트 디 렉 터 리 의[Active Directory 사용자 와 컴퓨터]도구 의[Managed Service Accounts]노드 에서 계 정 을 볼 수 있 지만 변경 할 수 없 는 것 만 볼 수 있 습 니 다.모든 작업 은 PowerShell 을 사용 해 야 합 니 다.
![[置顶] Chapter 1 Securing Your Server and Network(3):使用托管服务帐号_第6张图片](https://img.md5.com/image/info5/df81ae0428324eb1879fb1ea109afa3f.png "image")
이 과정 에서 뉴-ADS 서비스 계 정 명령 을 사용 하면 접근 거부(Access is denied error)오류 가 발생 할 수 있 습 니 다.이 는 사용자 계 정 제어(User Account Control,UAC)정책 으로 인해 도 메 인 관리자 계 정 으로 로그 인하 거나 Admin Approval Mode 를 임시로 사용 하지 않 을 수 있 습 니 다.
Admin Approval Mode 를 사용 하지 않 으 면 도 메 인 관리자 에서[secpol.msc]를 실행 한 다음 다음 그림 의 설정 을 찾 아 사용 하지 않 고 컴퓨터 를 다시 시작 할 수 있 습 니 다.
![[置顶] Chapter 1 Securing Your Server and Network(3):使用托管服务帐号_第7张图片](https://img.md5.com/image/info5/0b0cf460fc804705b586cc3f63f9ce08.jpg "image")
더 많은 정보:
만약 당신 이 더 이상 위탁 관리 서비스 계 정 을 사용 하지 않 는 다 면,그것 을 제거 해 야 합 니 다.
위탁 관리 계 정 제거:
대응 하 는 서버 에서 실행:
Uninstall-ADServiceAccount -Identity SQL-SRV1AD 에서 실행:
Remove-ADServiceAccount -Identity SQL-SRV1더 많은 정보 접근 가능:
Service Accounts Step-by-Step Guide http://technet.microsoft.com/en-us/library/dd548356%28WS.10%29.aspx
다음 편:http://blog.csdn.net/dba_huangzj/article/details/38037457
이 내용에 흥미가 있습니까?
현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:
깊이 중첩된 객체를 정확히 일치 검색 - PostgreSQL목차 * 🚀 * 🎯 * 🏁 * 🙏 JSON 객체 예시 따라서 우리의 현재 목표는 "고용주"사용자가 입력한 검색어(이 경우에는 '요리')를 얻고 이 용어와 정확히 일치하는 모든 사용자 프로필을 찾는 것입니다. 즐거운 ...
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.
좋은 웹페이지 즐겨찾기
