导航：首页 > 服务器 >

Windows Server 2008 R2中托管服务帐号的方法是什么呢

发表于：2025-12-03 作者：千家信息网编辑

千家信息网最后更新 2025年12月03日，Windows Server 2008 R2中托管服务帐号的方法是什么呢，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。在

千家信息网最后更新 2025年12月03日Windows Server 2008 R2中托管服务帐号的方法是什么呢

Windows Server 2008 R2中托管服务帐号的方法是什么呢，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。

在现代化的企业中，计算机网络占据了重中之重的地位,越来越多的企业核心业务依附于计算机网络架构，例如：往来电子邮件，文件共享，即时通信等。而在网络架构下，企业所部署的计算机操作系统、业务应用程序、后台数据库等各种应用系统的种类越来越多，网络架构也越来越复杂，而应用系统正常运作，除了前台的应用界面外，更重要的是后台的进程或后台的服务，有了后台进程和服务的稳定运行，才能保证业务活动的正常进行。

后台的进程和服务，都需要指定某一特定运行帐号，应该指定哪些帐号呢？我们可以从后台服务的分类来探讨：

第一类是操作系统自带服务，例如BITS服务、DNS Client服务等，他们的作用是为操作系统运行提供后台支撑，在Windows操作系统下，我们知道有这么三个特殊帐号用以启动此类服务，分别是：

SYSTEM帐号：系统帐号。部分操作系统版本会识别为Local System帐号。由System帐号开启的后台进程，拥有对计算机***的访问权限，并可接收其他用户的请求，并颁发访问令牌等。

Local Service帐号：本地服务帐号。是预设的拥有最小权限的本地账户，并在网络凭证中具有匿名的身份。Local Service账户通常可以访问Local Service、Everyone组还有认证用户有权限访问的资源

Network Service帐号：网络服务帐号。是预设的拥有本机部分权限的本地账户，它能够以计算机的名义访问网络资源。以Network Service账户运行的服务会根据实际环境把访问凭据提交给远程的计算机。Network Service账户通常可以访问Network Service、Everyone组，还有认证用户有权限访问的资源

第二类是业务应用系统服务，例如SQL Server服务，ERP应用服务等，他们是为了满足某一业务应用提供后台支撑。一般我们需要指定某一域帐号来启动此类服务，在微软的活动目录架构下，此帐号往往都是域帐号。而对于域帐号的密码管理，每个企业都有自己的一套规范，

例如：某些企业可能要求域用户的密码：

密码最小长度7位

最长42天更改密码

不能使用最近三次使用过的密码作为新密码

显然运行服务的域帐号也必须每42天更改一次密码，一旦超过42天没有更改，则原密码过期，会造成服务无法正常运行。

对管理员来说，定期更改服务帐号的密码是繁琐的，且服务种类、帐号越多，更加难以管理。有些系统管理员为了管理方便，往往还会设置服务帐号为密码永不过期。这样虽然避免了定期更改密码，减小了工作量，但是长期不更改密码，增加了密码泄露的风险。

而在Windows Server 2008 R2中的托管服务帐号（MSA）出现，解决了这一问题，他是如何实现的，我们来看看。

托管服务帐号

由于对运行的服务的域用户账号密码管理起来较麻烦，因此托管服务帐号（Managed Service Account）应运而生。所谓托管服务帐号，也即委托给操作系统进行管理的帐号。托管服务帐号（MSA）的密码由操作系统自动设定、维护，定期自动更新，并不需要管理员手工干预，对管理员来说，好像此帐号没有密码一样。

托管服务帐号（MSA）的作用

托管服务账号使得服务相互隔离，需要单独进行自动密码管理

减少服务中断，从而降低TCO

对于每服务或每服务器使用单一的托管服务账号（服务账号不能被多台计算机共享）

在Windows Server 2008 R2域功能级别上能更好的进行SPN管理（允许服务器对服务账号的重命名）

托管服务帐号（MSA）的使用

配置和应用托管服务帐号（MSA），需要进行三个步骤：

创建MSA帐号安装MSA帐号为服务分配MSA帐号。

1. 创建MSA帐号：

MSA帐号的创建需要通过PowerShell的New-ADServiceAccount命令创建，如下图所示：