Windows 2008 R2中如何托管服务账号

　　Windows Server 2008 R2后台的进程和服务，都需要指定某一特定运行帐号，应该指定哪些帐号呢？我们可以从后台服务的分类来探讨：

　　第一类是操作系统自带服务，例如BITS服务、DNS Client服务等，他们的作用是为操作系统运行提供后台支撑，在Windows操作系统下，我们知道有这么三个特殊帐号用以启动此类服务，分别是：

　　SYSTEM帐号：系统帐号。部分操作系统版本会识别为LocaSystem帐号。由System帐号开启的后台进程，拥有对计算机最高的访问权限，并可接收其他用户的请求，并颁发访问令牌等。

　　LocaService帐号：本地服务帐号。是预设的拥有最小权限的本地账户，并在网络凭证中具有匿名的身份。LocaService账户通常可以访问LocaService、Everyone组还有认证用户有权限访问的资源

　　Network Service帐号：网络服务帐号。是预设的拥有本机部分权限的本地账户，它能够以计算机的名义访问网络资源。以Network Service账户运行的服务会根据实际环境把访问凭据提交给远程的计算机。Network Service账户通常可以访问Network Service、Everyone组，还有认证用户有权限访问的资源

　　第二类是业务应用系统服务，例如SQServer服务，ERP应用服务等，他们是为了满足某一业务应用提供后台支撑。一般我们需要指定某一域帐号来启动此类服务，在微软的活动目录架构下，此帐号往往都是域帐号。而对于域帐号的密码管理，每个企业都有自己的一套规范，

　　例如：某些企业可能要求域用户的密码：

　　密码最小长度7位

　　最长42天更改密码

　　不能使用最近三次使用过的密码作为新密码

　　显然运行服务的域帐号也必须每42天更改一次密码，一旦超过42天没有更改，则原密码过期，会造成服务无法正常运行。

　　对管理员来说，定期更改服务帐号的密码是繁琐的，且服务种类、帐号越多，更加难以管理。有些系统管理员为了管理方便，往往还会设置服务帐号为密码永不过期。这样虽然避免了定期更改密码，减小了工作量，但是长期不更改密码，增加了密码泄露的风险。

　　而在Windows Server 2008 R2中的托管服务帐号(MSA)出现，解决了这一问题，他是如何实现的，我们来看看。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]