背景

豆子需要設(shè)置一個(gè)計(jì)劃任務(wù)然后用某個(gè)服務(wù)賬號運(yùn)行。傳統(tǒng)的做法一般是創(chuàng)建一個(gè)服務(wù)賬號，配置對應(yīng)的權(quán)限，然后設(shè)定密碼永不過期。這樣的安全隱患是密碼一直沒改變。Windows 2008的時(shí)候微軟推出了MSA（托管服務(wù)賬號），本質(zhì)是繼承了計(jì)算機(jī)賬戶的特性，每次由計(jì)算機(jī)自動更換密碼，這樣完全不用管理人員的介入。但是當(dāng)時(shí)MSA既不支持多臺主機(jī)，也不支持計(jì)劃任務(wù)，更別說第三方軟件，所以實(shí)用性不大。Windows 2012以后，微軟推出了新版本的gMSA，終于可以支持多臺主機(jī)和計(jì)劃任務(wù)了。gMSA每次改密碼是由DC上面的KDS服務(wù)管理的，每次通過一個(gè)root key id，時(shí)間戳以及gMSA的SID通過某個(gè)復(fù)雜的算法生成一個(gè)隨機(jī)的密碼。注意這里的gMSA中的g代表的是group，也是說我們需要分配一個(gè)安全組給這個(gè)托管賬戶，安全組里面的所有計(jì)算機(jī)賬戶都可以去使用這個(gè)托管賬戶

成都創(chuàng)新互聯(lián)公司專注于興業(yè)企業(yè)網(wǎng)站建設(shè),成都響應(yīng)式網(wǎng)站建設(shè)公司,成都商城網(wǎng)站開發(fā)。興業(yè)網(wǎng)站建設(shè)公司,為興業(yè)等地區(qū)提供建站服務(wù)。全流程按需開發(fā)，專業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，成都創(chuàng)新互聯(lián)公司專業(yè)和態(tài)度為您提供的服務(wù)

具體操作

1. 創(chuàng)建一個(gè)KDS Root Key

注意！創(chuàng)建以后，需要等待10個(gè)小時(shí)讓所有的DC同步

2.創(chuàng)建一個(gè)安全組，然后把需要管理的計(jì)算機(jī)加進(jìn)去，重啟對應(yīng)的計(jì)算機(jī)

3. 創(chuàng)建gMSA賬號

創(chuàng)建成功以后可以在Management Service Accounts這個(gè)容器下看見對應(yīng)的賬號

4. 安裝gMSA到主機(jī)上

登錄到對應(yīng)的主機(jī)上面，執(zhí)行下面的命令

基本的安裝就完成了。下面就可以用這個(gè)gMSA賬號來配置服務(wù)或者計(jì)劃任務(wù)了

5. 配置計(jì)劃任務(wù)

一個(gè)很惡心的地方是，圖形界面不支持gMSA的配置。如果直接查找對應(yīng)的賬號，他會報(bào)錯(cuò) 說不存在

正確的方式是全程通過PowerShell實(shí)現(xiàn)

$F = "c:\scripts\syncErrornotification.ps1"

#The first command uses the New-ScheduledTaskAction cmdlet to assign the action variable $A to the executable file tskmgr.exe
$A = New-ScheduledTaskAction -Execute "C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" -Argument "-noexit -ExecutionPolicy Bypass -File $F"

#The second command uses the New-ScheduledTaskTrigger cmdlet to assign the trigger variable $T to the value AtLogon
$T = New-ScheduledTaskTrigger -daily -At 7am

#The third command uses the New-ScheduledTaskSettingsSet cmdlet to assign the settings variable $S to a task settings object
$S = New-ScheduledTaskSettingsSet -Compatibility Win8 -ExecutionTimeLimit 3600 -ThrottleLimit 2
#The fourth command assigns the principal variable to the New-ScheduledTaskPrincipal of the scheduled task, domainname\gMSA_account$
$P = New-ScheduledTaskPrincipal -UserId omnicom\svc-it$ -LogonType Password -RunLevel Highest

#The fifth command sets the description varible to $D for the task definition
$D = "Office365 Sync Errors"

#Register the scheduled task
Register-ScheduledTask test -Action $A -Trigger $T -Principal $P -Description $D

該主機(jī)上還需要授予執(zhí)行腳本的權(quán)利，點(diǎn)開gpedit.msc, 添加對應(yīng)logon as batch job的權(quán)限

如果需要其他權(quán)限，例如本地管理員或者域管理員等權(quán)限，請自行添加。

6. 測試

第5步腳本會創(chuàng)建下面的計(jì)劃任務(wù)，但是這個(gè)界面你如果用UI是無法實(shí)現(xiàn)的

實(shí)際的跑一下，1分鐘之后我就收到郵件了, 成功

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

分享文章：托管服務(wù)賬號配置計(jì)劃任務(wù)-創(chuàng)新互聯(lián)
鏈接分享：http://weahome.cn/article/jsjdg.html