群組受管理的服務帳戶概觀

發行項
06/12/2016

適用於: Windows Server 2012 R2, Windows Server 2012

這個適用於 IT 專業人員的主題透過描述實際的應用、Microsoft 實作的變更、硬體與軟體需求，以及 Windows Server 2012 的其他資源，說明群組受管理的服務帳戶。

您是不是要尋找…

服務帳戶
受管理的服務帳戶 (獨立)

功能說明

在 Windows Server 2008 R2 和 Windows 7 中推出的獨立受管理的服務帳戶指的是受管理的網域帳戶，這些帳戶提供自動密碼管理以及簡化的 SPN 管理，包括將管理委派給其他系統管理員。

群組受管理的服務帳戶在網域中提供相同的功能，但也在多部伺服器上延伸該功能。當連線到伺服器陣列上託管的服務時，例如「網路負載平衡」，支援相互驗證的驗證通訊協定會要求服務的所有執行個體都使用相同的主體。當群組受管理的服務帳戶被用來當做服務主體，Windows 作業系統會管理帳戶的密碼，而不會依賴系統管理員來管理密碼。

Microsoft 金鑰發佈服務 (kdssvc.dll) 使用 Active Directory 帳戶的金鑰識別碼，提供安全取得最新金鑰或特定金鑰的機制。這項服務是 Windows Server 2012 的新功能，無法在舊版 Windows Server 作業系統上執行。金鑰發佈服務共用一個用來建立帳戶金鑰的密碼。系統會定期變更這些金鑰。對於群組受管理的服務帳戶，除了群組受管理的服務帳戶的其他屬性以外，Windows Server 2012 網域控制站還會針對金鑰發佈服務所提供的金鑰來計算密碼。Windows Server 2012 和 Windows 8 成員主機可以透過連絡 Windows Server 2012 網域控制站，取得目前以及前述的密碼值。

實際應用

群組受管理的服務帳戶會針對在伺服器陣列上執行的服務，或網路負載平衡後方系統上執行的服務，提供單一識別解決方案。透過提供群組 MSA 解決方案，就可以針對新的群組 MSA 主體設定服務，而且由 Windows 處理密碼管理。

使用群組受管理的服務帳戶時，服務或服務管理員不需要管理服務執行個體之間的密碼同步。群組受管理的服務帳戶支援延長期間維持離線的主機，以及服務所有執行個體的成員主機管理。這表示您可以部署一個支援單一識別的伺服器陣列，現有的用戶端電腦不需知道所連接的服務執行個體，就可以進行驗證。

容錯移轉叢集不支援 gMSA。不過，在叢集服務上執行的服務如果是 Windows 服務、應用程式集區、排定的工作或原生支援 gMSA 或 sMSA，便可使用 gMSA 或 sMSA。

新功能和變更的功能

下表記錄 MSA 功能的變更。

特色/功能	Windows Server 2008 R2	Windows Server 2012
虛擬電腦帳戶	X	X
受管理的服務帳戶	X	X
群組受管理的服務帳戶		X
Windows PowerShell Cmdlet	X	X

如需 MSA 的這些功能變更的相關資訊，請參閱＜受管理的服務帳戶的新功能＞。

過時的功能

在 Windows Server 2012，Windows PowerShell Cmdlet 預設為管理群組受管理的服務帳戶，而非原始獨立受管理的服務帳戶。

軟體需求

受管理的服務帳戶 (以及虛擬電腦帳戶) 同時適用於 Windows Server 2008 R2 和 Windows Server 2012。群組受管理的服務帳戶僅能在執行 Windows Server 2012 的電腦上進行設定與管理，但是可以部署為網域中的單一服務識別解決方案，而這些網域仍有某些 DC 執行比 Windows Server 2012 更早的作業系統。沒有網域或樹系功能等級的需求。

若要執行用來管理群組「受管理的服務帳戶」的 Windows PowerShell 命令，必須有 64 位元架構。

受管理的服務帳戶依存於 Kerberos 受支援的加密類型。當用戶端電腦向使用 Kerberos 的伺服器進行驗證，DC 會建立使用 DC 和伺服器都支援的加密來保護的 Kerberos 服務票證。 DC 使用帳戶的 msDS-SupportedEncryptionTypes 屬性來判斷伺服器支援何種加密，如果沒有屬性，則會假設用戶端電腦不支援更強的加密類型。如果 Windows Server 2012 主機已設定為不支援 RC4，則驗證將一律失敗。基於這個原因，AES 應一律針對 MSA 進行明確設定。

注意事項
從 Windows Server 2008 R2 開始，DES 預設為停用。如需受支援加密類型的詳細資訊，請參閱 Kerberos 驗證的變更。

群組受管理的服務帳戶不適用於 Windows Server 2012 之前的 Windows 作業系統。

伺服器管理員資訊

使用伺服器管理員或 Install-WindowsFeature Cmdlet 來實作 MSA 和群組 MSA 時，不需要任何設定步驟。

另請參閱

下表提供與受管理的服務帳戶以及群組受管理的服務帳戶相關的其他資源連結。

內容類型	參考
產品評估	受管理的服務帳戶的新功能適用於 Windows 7 和 Windows Server 2008 R2 的受管理的服務帳戶的說明文件服務帳戶的逐步指南
規劃	尚未提供
部署	尚未提供
操作	Active Directory 中的受管理的服務帳戶
疑難排解	尚未提供
評估	開始使用群組受管理的服務帳戶
工具及設定	Active Directory 網域服務中的受管理的服務帳戶
社群資源	受管理的服務帳戶：了解、實作、最佳做法以及疑難排解
相關技術	Active Directory 網域服務概觀