試作受管理的服務帳戶(MSA)

1. 開啟 AD使用者和電腦, 查看 MSA項目容器, 現在是沒有東西

w-studio.idv.tw

2. 輸入 Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))指令, 建立KDS根金鑰

3. 再輸入指令新增 MSA群組 New-ADServiceAccount –Name WebService –DNSHostName [DNS主機名] –PrincipalsAllowedToRetrieveManagedPassword [目標主機$](注意這裡要加$)

4. 回到 AD使用者和電腦重新整理, 可以看到 MSA項目容器中已多出 WebService物件

5. 輸入指令 Add-ADComputerServiceAccount –Identity [目標主機] –ServiceAccount WebService建立 MSA關聯, 再輸入指令 Get-ADServiceAccount  -Filter *查看 MSA設定

6. 在 AD使用者和電腦找到目標主機 Server1查看內容

7. 在內容中的屬性編輯器標籤內, 確認 msDS-HostServiceAccount有內容值

8. 輸入指令 Set-ADServiceAccount –Identity WebService –PrincipalsAllowedToRetrieveManagedPassword [目標主機$] 設定 WebService群組

9. 接著來到目標主機 Server1, 確認伺服器角色功能已安裝 Windows PowerShell的 Active Directory模組, 才後繼續設定 MSA w-studio.idv.tw

10. 輸入指令 Install-ADServiceAccount –Identity WebService安裝 MSA

11. 開啟 IIS管理員(要先安裝好 IIS), 展開左邊項目, 選擇應用程式集區, 再於右邊動作項目中點擊進階設定

12. 於進階設定中找到識別欄位, 點擊 ApplicationPoolIdentity

13. 於應用程式集區識別中選擇自訂帳戶, 再按設定

14. 設定認證中輸入使用者名稱 網域\WebService$

15. 完成設定認證

16. 完成識別設定

17. 最後在右邊動作項目中先停止應用程式集區再重啟動即完成

後記: 照著教材來操作我還是不了解做了什麼(看不出變化)