Управлять учетными записями служб в Windows Server 2008 R2 стало намного проще
В Windows Server 2008 R2 появилась новая категория учетных записей, значительно облегчающая управление учетными записями служб на локальном компьютере. Рик Вановер (Rick Vanover) рассказывает об этом подробнее.
Управление учетными записями служб на уровне домена удобнее всего осуществлять с помощью групповой политики (Group Policy) и подробной настройки разрешений. Но когда возникает необходимость сменить пароль к такой учетной записи, задача серьезно усложняется. Учетные записи служб — прекрасный инструмент до тех пор, пока не требует изменения конфигурации на локальном компьютере.
В Windows Server 2008 R2 появился новый тип учетной записи — управляемая учетная запись службы (managed service account), призванная значительно облегчить администрирование на уровне локального компьютера. Она позволяет частично использовать учетную запись компьютера в Active Directory как учетную запись службы. В документации TechNet этот тип учетной записи, доступный для серверов под управлением Windows Server 2008 R2 и Windows 7, называется «управляемая локальная учетная запись». Чтобы воспользоваться новой функциональностью, Схему Active Directory (Active Directory Schema) необходимо обновить до версии Windows Server 2008 R2. При этом управляемая учетная запись службы создаст одноименную организационную единицу высшего уровня.
Обратите внимание: для работы с новым типом учетной записи лучше всего использовать PowerShell, поскольку возможности настройки свойств с помощью графического интерфейса по сравнению с PowerShell ограничены.
В каком-то смысле управляемая учетная запись службы может функционировать как встроенная организационная единица в стандартной конфигурации домена. Однако такие организационные единицы не предусматривают подробной настройки разрешений, как в случае с учетными записями служб. Встроенная организационная единица позволяет присвоить определенные права системе контроллера домена, например, для удаленного доступа. В конфигурациях SQL или IIS управляемые учетные записи служб позволяют сделать управление максимально централизованным.
Управляемые учетные записи служб значительно повышают безопасность и облегчают управление паролями. Я уже прямо-таки слышу возгласы ликования системных администраторов по этому поводу.
