Windows 2008 R2中如何托管服務賬號

　　Windows Server 2008 R2后臺的進程和服務，都需要指定某一特定運行帳號，應該指定哪些帳號呢？我們可以從后臺服務的分類來探討：

　　第一類是操作系統自帶服務，例如BITS服務、DNS Client服務等，他們的作用是為操作系統運行提供后臺支撐，在Windows操作系統下，我們知道有這么三個特殊帳號用以啟動此類服務，分別是：

　　SYSTEM帳號：系統帳號。部分操作系統版本會識別為LocaSystem帳號。由System帳號開啟的后臺進程，擁有對計算機最高的訪問權限，并可接收其他用戶的請求，并頒發訪問令牌等。

　　LocaService帳號：本地服務帳號。是預設的擁有最小權限的本地賬戶，并在網絡憑證中具有匿名的身份。LocaService賬戶通�？梢栽L問LocaService、Everyone組還有認證用戶有權限訪問的資源

　　Network Service帳號：網絡服務帳號。是預設的擁有本機部分權限的本地賬戶，它能夠以計算機的名義訪問網絡資源。以Network Service賬戶運行的服務會根據實際環境把訪問憑據提交給遠程的計算機。Network Service賬戶通�？梢栽L問Network Service、Everyone組，還有認證用戶有權限訪問的資源

　　第二類是業務應用系統服務，例如SQServer服務，ERP應用服務等，他們是為了滿足某一業務應用提供后臺支撐。一般我們需要指定某一域帳號來啟動此類服務，在微軟的活動目錄架構下，此帳號往往都是域帳號。而對于域帳號的密碼管理，每個企業都有自己的一套規范，

　　例如：某些企業可能要求域用戶的密碼：

　　密碼最小長度7位

　　最長42天更改密碼

　　不能使用最近三次使用過的密碼作為新密碼

　　顯然運行服務的域帳號也必須每42天更改一次密碼，一旦超過42天沒有更改，則原密碼過期，會造成服務無法正常運行。

　　對管理員來說，定期更改服務帳號的密碼是繁瑣的，且服務種類、帳號越多，更加難以管理。有些系統管理員為了管理方便，往往還會設置服務帳號為密碼永不過期。這樣雖然避免了定期更改密碼，減小了工作量，但是長期不更改密碼，增加了密碼泄露的風險。

　　而在Windows Server 2008 R2中的托管服務帳號(MSA)出現，解決了這一問題，他是如何實現的，我們來看看。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]