Csoportosan felügyelt szolgáltatásfiókok – első lépések
Közzétéve: 2016. augusztus
Hatókör: Windows Server 2012 R2, Windows Server 2012
Ez az útmutató részletes utasításokat és háttér-információkat tartalmaz a csoportosan felügyelt szolgáltatásfiókoknak a(z) Windows Server 2012 rendszerben történő engedélyezéséről és használatáról.
A dokumentum tartalma
Prerequisites
Bevezetés
Új kiszolgálófarm telepítése
Tagszámítógépek hozzáadása egy meglévő kiszolgálófarmhoz
A csoportosan felügyelt szolgáltatásfiók tulajdonságainak frissítése
Meglévő kiszolgálófarm egy tagjának leszerelése
Meglévő kiszolgálófarm leszerelése
Megjegyzés
Ez a témakör mintaként használható Windows PowerShell-parancsmagokat tartalmaz, amelyekkel automatizálható néhány ismertetett művelet. További információt a parancsmagok használatát ismertető cikkben talál.
Előfeltételek
További tudnivalókért olvassa el ezen témakör A csoportosan felügyelt szolgáltatásfiókok követelményei című részét.
Bevezetés
Amikor egy ügyfélszámítógép csatlakozik egy szolgáltatáshoz, amely hálózati terheléselosztást (NLB) vagy más olyan módszert alkalmaz, amely egyetlen szolgáltatásként láttatja az összes kiszolgálót az ügyfél számára, akkor a kölcsönös hitelesítést támogató protokollokat (például Kerberos) nem lehet használni, kivéve, ha a szolgáltatás mindegyik példánya ugyanazt a rendszerbiztonsági tagot használja. Ez azt jelenti, hogy mindegyik szolgáltatásnak ugyanazokkal a jelszavakkal/kulcsokkal kell igazolnia az identitását.
Megjegyzés
A feladatátvevő fürtök nem támogatják a csoportosan felügyelt szolgáltatásfiókokat. A fürtszolgáltatás fölött futó szolgáltatások azonban használhatnak csoportosan felügyelt szolgáltatásfiókot vagy önállóan felügyelt szolgáltatásfiókot, ha Windows-szolgáltatásról, alkalmazáskészletről, ütemezett feladatról van szó, vagy ha natívan támogatják a csoportosan vagy önállóan felügyelt szolgáltatásfiókot.
A szolgáltatások a következő rendszerbiztonsági tagok közül választhatnak (mindegyiknek vannak bizonyos korlátai).
Rendszerbiztonsági tagok |
Hatókör |
Támogatott szolgáltatások |
Jelszókezelés |
---|---|---|---|
A Windows rendszer számítógépfiókja |
Tartomány |
Legfeljebb egyetlen tartományhoz csatlakoztatott kiszolgáló |
A számítógép kezeli |
Windows rendszer nélküli számítógépfiók |
Tartomány |
Bármilyen tartományhoz csatlakozó kiszolgáló |
Egyik sem |
Virtuális fiók |
Helyi |
Legfeljebb egy kiszolgáló |
A számítógép kezeli |
Önállóan felügyelt Windows 7 szolgáltatásfiók |
Tartomány |
Legfeljebb egyetlen tartományhoz csatlakoztatott kiszolgáló |
A számítógép kezeli |
Felhasználói fiók |
Tartomány |
Bármilyen tartományhoz csatlakozó kiszolgáló |
Egyik sem |
Csoportosan felügyelt szolgáltatásfiók |
Tartomány |
Bármilyen Windows Server 2012 tartományhoz csatlakozó kiszolgáló |
A tartományvezérlő kezeli, és az állomás lekéri |
A Windows-számítógépfiókokat, a Windows 7 rendszerű önállóan felügyelt szolgáltatásfiókot és a virtuális fiókokat nem lehet több rendszer között megosztani. Ha egyetlen fiókot konfigurál a kiszolgálófarmokon való közös használatra, akkor Windows rendszertől független felhasználói fiókot vagy számítógépfiókot kell konfigurálnia. Mindenesetre ezeknek a fiókoknak a jelszavát nem lehet egyetlen pontról kezelni. Ez problémát jelent, mert mindegyik szervezetnek egy drága megoldást kell kialakítania arra, hogy frissítse a szolgáltatásnak az Active Directoryban tárolt kulcsait, majd eljuttassa ezeket a kulcsokat e szolgáltatások mindegyik példányának.
A Windows Server 2012 rendszerben a szolgáltatásoknak és a szolgáltatások rendszergazdáinak nem kell kezelniük a jelszavak szolgáltatáspéldányok közötti szinkronizálását, ha csoportosan felügyelt szolgáltatásfiókokat használnak. A csoportosan felügyelt szolgáltatásfiók létesítése az Active Directoryban történik, ezt követően konfigurálni kell a felügyelt szolgáltatásfiókokat támogató szolgáltatást. A csoportos szolgáltatásfiók létesítésére a * -ADServiceAccount parancsmagok szolgálnak. Ezek a parancsmagok az Active Directory-modul részét alkotják. A szolgáltatás identitásának a számítógépen történő konfigurálását a következők szolgálják:
Az önállóan felügyelt szolgáltatásfiókokkal azonos API-k, ezért az önállóan felügyelt szolgáltatásfiókokat támogató termékek a csoportosan felügyelt szolgáltatásfiókokat is támogatják
A bejelentkező identitás konfigurálására a Szolgáltatásvezérlő kezelőjét használó szolgáltatások
Az alkalmazáskészletek identitásának konfigurálására az IIS-kezelőt használó szolgáltatások
A Feladatütemezőt használó feladatok
Az önálló felügyelt szolgáltatásfiókokkal kapcsolatos további információkat a Managed Service Accounts (Felügyelt szolgáltatásfiókok) című témakörben tekintheti meg. További információk a csoportosan felügyelt szolgáltatásfiókokról: Csoportosan felügyelt szolgáltatásfiókok – áttekintés.
A csoportosan felügyelt szolgáltatásfiókok követelményei
A következő táblázat azokat az operációsrendszer-követelményeket ismerteti, amelyeknek teljesülniük kell ahhoz, hogy a Kerberos-hitelesítés működjön a csoportosan felügyelt szolgáltatásfiókot használó szolgáltatásokkal. Az Active Directory-követelmények a táblázat után vannak felsorolva.
A csoportosan felügyelt szolgáltatásfiókok felügyeletére használatos Windows PowerShell-parancsmagok futtatásához 64 bites architektúra szükséges.
Az operációs rendszerre vonatkozó követelmények
Elem |
Követelmény |
Operációs rendszer |
---|---|---|
Az ügyfélalkalmazást futtató számítógép |
RFC-kompatibilis Kerberos-ügyfél |
Legalább Windows XP |
A felhasználói fiók tartományának tartományvezérlői |
RFC-kompatibilis KDC |
Legalább Windows Server 2003 |
Megosztott szolgáltatás tagszámítógépei |
Windows Server 2012 |
|
Tagszámítógépek tartományának tartományvezérlői |
RFC-kompatibilis KDC |
Legalább Windows Server 2003 |
A csoportosan felügyelt szolgáltatásfiók tartományának tartományvezérlői |
Olyan Windows Server 2012 tartományvezérlők, amelyek elérhetők az állomás számára, hogy lekérje a jelszót |
Windows Server 2012 kiszolgálót tartalmazó tartomány, amelyben lehetnek a Windows Server 2012 rendszernél korábbi kiszolgálók is |
A szolgáltatást futtató háttérkiszolgáló |
RFC-kompatibilis Kerberos-alkalmazáskiszolgáló |
Legalább Windows Server 2003 |
A háttérkiszolgáló szolgáltatásfiókjának tartományvezérlői |
RFC-kompatibilis KDC |
Legalább Windows Server 2003 |
Windows PowerShell Active Directory-modul |
A Windows PowerShell Active Directory-modul helyben telepítve egy, a 64 bites architektúrát támogató számítógépre, illetve a távfelügyeleti számítógépre (például a Távoli kiszolgálófelügyelet eszközeivel) |
Windows Server 2012 |
Az Active Directory tartományi szolgáltatás követelményei
Csoportosan felügyelt szolgáltatásfiók létrehozásához frissíteni kell a csoportosan felügyelt szolgáltatásfiók tartománya erdejének Active Directory-sémáját a Windows Server 2012 verzióra.
A sémafrissítést úgy végezheti el, hogy telepít egy Windows Server 2012 rendszerű tartományvezérlőt, vagy futtatja az adprep.exe program Windows Server 2012 rendszerű számítógépeken megtalálható verzióját. A CN = Schema, CN = Configuration, DC = contoso, DC = com objektum object-version attribútumának 52-nek kell lennie.
Újonnan létesített csoportosan felügyelt szolgáltatásfiók
Ha csoportonként kezeli a szolgáltatásgazdán a csoportosan felügyelt szolgáltatásfiók használatára szóló engedélyt, akkor egy új vagy meglévő biztonsági csoport
Ha csoportonként kezeli a szolgáltatások hozzáférés-vezérlését, akkor egy új vagy meglévő biztonsági csoport
Ha az Active Directory első főgyökérkulcsa nincs telepítve a tartományban, vagy nincs létrehozva, akkor hozza létre. A létrehozás eredménye a KdsSvc műveleti naplójában ellenőrizhető (eseményazonosító: 4004).
A kulcs létrehozásáról a(z) Kulcsszolgáltató szolgáltatások KDS gyökérkulcsának létrehozása című rész nyújt tájékoztatást. A Microsoft kulcsszolgáltatató szolgáltatás (kdssvc.dll) – a gyökérkulcs az Active Directory számára.
Életciklus
A csoportosan felügyelt szolgáltatásfiók funkciót használó kiszolgálófarm életciklusát általában a következő műveletek alkotják:
Új kiszolgálófarm telepítése
Tagszámítógépek hozzáadása egy meglévő kiszolgálófarmhoz
Meglévő kiszolgálófarm egy tagjának leszerelése
Meglévő kiszolgálófarm leszerelése
Sérült védelmű tag eltávolítása a kiszolgálófarmból (szükség esetén)
Új kiszolgálófarm telepítése
Új kiszolgálófarm telepítésekor a szolgáltatás rendszergazdájának meg kell állapítania (illetve meg kell határoznia) a következőket:
Támogatja-e a szolgáltatás a csoportosan felügyelt szolgáltatásfiókok használatát?
Megköveteli-e a szolgáltatás a bejövő vagy a kimenő kapcsolatok hitelesítését?
A csoportosan felügyelt szolgáltatásfiókot használó szolgáltatás tagszámítógépeinek számítógépfiók-nevét
A szolgáltatás NetBIOS-nevét
A szolgáltatás DNS-állomásnevét
A szolgáltatás egyszerű szolgáltatásnevét (SPN)
A jelszó módosításának időközét (alapértelmezés szerint 30 nap)
1. lépés: Csoportosan felügyelt szolgáltatásfiókok létesítése
Csak akkor hozhat létre csoportosan felügyelt szolgáltatásfiókot, ha az erdő sémája már frissítve van a Windows Server 2012 verzióra, már telepítve van az Active Directory főgyökérkulcsa, és van legalább egy Windows Server 2012 tartományvezérlő abban a tartományban, amelyben a csoportosan felügyelt szolgáltatásfiókot létrehozza.
A következő műveletek végrehajtásához Tartománygazdák vagy Fiókfelelősök csoportbeli tagság, illetve msDS-GroupManagedServiceAccount objektumok létrehozására való jogosultság szükséges. A megfelelő fiókok és csoporttagságok használatáról az Alapértelmezett helyi és tartományi csoportok című cikk nyújt tájékoztatást.
Csoportosan felügyelt szolgáltatásfiók létrehozása a New-ADServiceAccount parancsmaggal
Futtassa a Windows PowerShellt a Windows Server 2012 tartományvezérlő tálcájáról.
Írja be a következő parancsokat a Windows PowerShell parancssorába, majd nyomja le az ENTER billentyűt. (Az Active Directory-modul automatikusan betöltődik.)
Új ADServiceAccount [-Name] < karakterlánc > - DNSHostName < karakterlánc > [-KerberosEncryptionType < ADKerberosEncryptionType >] [-ManagedPasswordIntervalInDays < üresen hagyható [Int32] >] [-PrincipalsAllowedToRetrieveManagedPassword < ADPrincipal [>]] - SamAccountName < karakterlánc > - ServicePrincipalNames < karakterlánc [] >
Paraméter
Karakterlánc
Példa
Név
A fiók neve
ITFarm1
DNSHostName
A szolgáltatás DNS-állomásneve
ITFarm1.contoso.com
KerberosEncryptionType
Bármilyen, a gazdakiszolgálók által támogatott titkosítási típus
RC4, AES128, AES256
ManagedPasswordIntervalInDays
A jelszó módosításának időköze napban (ha nincs megadva, a 30 napos alapértelmezett érték érvényes)
90
PrincipalsAllowedToRetrieveManagedPassword
A tagszámítógépek számítógépfiókja, vagy az a biztonsági csoport, amelynek a tagszámítógépek tagjai
ITFarmHosts
SamAccountName
A szolgáltatás NetBIOS-neve, ha nem ugyanaz, mint a Name attribútum
ITFarm1
ServicePrincipalNames
A szolgáltatás egyszerű szolgáltatásneve (SPN)
http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Fontos
A jelszó módosításának időköze csak a létrehozás során adható meg. Ha módosítania kell az időközt, létre kell hoznia egy új csoportosan felügyelt szolgáltatásfiókot, és akkor kell beállítania ezt az időközt.
Példa
A parancsot egy sorba kell beírni akkor is, ha itt formázási korlátozások miatt több sorba tördelve jelenik meg.
New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
A következő művelet végrehajtásához Tartománygazdák vagy Fiókfelelősök csoportbeli tagság, illetve msDS-GroupManagedServiceAccount objektumok létrehozására való jogosultság szükséges. A megfelelő fiókok és csoporttagságok használatáról az Alapértelmezett helyi és tartományi csoportok című cikk nyújt tájékoztatást.
Csak kimenő hitelesítésre használt csoportosan felügyelt szolgáltatásfiók létrehozása a New-ADServiceAccount parancsmaggal
Futtassa a Windows PowerShellt a Windows Server 2012 tartományvezérlő tálcájáról.
A Windows PowerShell Active Directory-modul parancssorába írja be a következő parancsokat, majd nyomja le az Enter billentyűt:
Új ADServiceAccount [-Name] < karakterlánc > - RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays < üresen hagyható [Int32] >] [-PrincipalsAllowedToRetrieveManagedPassword < ADPrincipal [>]]
Paraméter
Karakterlánc
Példa
Név
A fiók neve
ITFarm1
ManagedPasswordIntervalInDays
A jelszó módosításának időköze napban (ha nincs megadva, a 30 napos alapértelmezett érték érvényes)
75
PrincipalsAllowedToRetrieveManagedPassword
A tagszámítógépek számítógépfiókja, vagy az a biztonsági csoport, amelynek a tagszámítógépek tagjai
ITFarmHosts
Fontos
A jelszó módosításának időköze csak a létrehozás során adható meg. Ha módosítania kell az időközt, létre kell hoznia egy új csoportosan felügyelt szolgáltatásfiókot, és akkor kell beállítania ezt az időközt.
Példa
New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts
2. lépés: Az alkalmazásszolgáltatás szolgáltatásidentitásának konfigurálása
A szolgáltatásoknak a Windows Server 2012 rendszerben történő konfigurálásáról a következő funkciók dokumentációja ismerteti:
IIS-alkalmazáskészlet
További tudnivalókért tekintse meg az Alkalmazáskészlet identitásának megadása (IIS 7) című részt.
Windows-szolgáltatások
További információk: Szolgáltatások.
Feladatok
További információt a Feladatütemező áttekintése témakörben talál.
Más szolgáltatások is támogathatják a csoportosan felügyelt szolgáltatásfiókokat. A megfelelő termék dokumentációjában talál részletes információkat arról, hogy miképpen konfigurálja az ilyen a szolgáltatásokat.
Tagszámítógépek hozzáadása egy meglévő kiszolgálófarmhoz
Ha biztonsági csoportokkal kezeli a tagszámítógépeket, a következő módszerek valamelyikével vegye fel az új tagszámítógép számítógépfiókját a biztonsági csoportba (abba, amelynek a csoportosan felügyelt számítógépfiók tagszámítógépei a tagjai).
A következő művelet végrehajtásához Tartománygazdák csoportbeli tagág, illetve a biztonsági csoport objektumba való tagfelvételre való jogosultság szükséges. A megfelelő fiókok és csoporttagságok használatáról az Alapértelmezett helyi és tartományi csoportok című cikk nyújt tájékoztatást.
1. módszer: Active Directory - felhasználók és számítógépek
A módszer használatáról a következő cikkek nyújtanak tájékoztatást: Számítógépfiók hozzáadása csoporthoz (a Windows felülete segítségével), illetve Különféle tartományok kezelése az Active Directory felügyeleti központjában.
2. módszer: dsmod
A módszer használatáról a következő cikk nyújt tájékoztatást: Számítógépfiók hozzáadása csoporthoz (parancssor segítségével).
3. módszer: A Windows PowerShell Active Directory-moduljának Add-ADPrincipalGroupMembership parancsmagja
A módszer használatáról az Add-ADPrincipalGroupMembership parancsmag ismertetése nyújt tájékoztatást.
Számítógépfiókok használata esetén keresse meg a meglévő fiókokat, és vegye fel az új számítógépfiókot.
A következő műveletek végrehajtásához Tartománygazdák vagy Fiókfelelősök csoportbeli tagság, illetve az msDS-GroupManagedServiceAccount objektumok felügyeletére való jogosultság szükséges. A megfelelő fiókok és csoporttagságok használatáról az Alapértelmezett helyi és tartományi csoportok című cikk nyújt tájékoztatást.
Tagszámítógépek hozzáadása a Set-ADServiceAccount parancsmaggal
Futtassa a Windows PowerShellt a Windows Server 2012 tartományvezérlő tálcájáról.
A Windows PowerShell Active Directory-modul parancssorába írja be a következő parancsokat, majd nyomja le az Enter billentyűt:
Get-ADServiceAccount [-Name] < karakterlánc > - PrincipalsAllowedToRetrieveManagedPassword
A Windows PowerShell Active Directory-modul parancssorába írja be a következő parancsokat, majd nyomja le az Enter billentyűt:
Set-ADServiceAccount [-Name] <karakterlánc> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Paraméter |
Karakterlánc |
Példa |
---|---|---|
Név |
A fiók neve |
ITFarm1 |
PrincipalsAllowedToRetrieveManagedPassword |
A tagszámítógépek számítógépfiókja, vagy az a biztonsági csoport, amelynek a tagszámítógépek tagjai |
Számítógép1, Számítógép2, Számítógép3 |
Példa
A tagszámítógépek hozzáadásához például írja be a következő parancsokat, majd nyomja le az ENTER billentyűt
Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Name] ITFarm1-PrincipalsAllowedToRetrieveManagedPassword Host1 Host2 Host3
A csoportosan felügyelt szolgáltatásfiók tulajdonságainak frissítése
A következő műveletek végrehajtásához Tartománygazdák vagy Fiókfelelősök csoportbeli tagság, illetve az msDS-GroupManagedServiceAccount objektumokba való írásra szóló jogosultság szükséges. A megfelelő fiókok és csoporttagságok használatáról az Alapértelmezett helyi és tartományi csoportok című cikk nyújt tájékoztatást.
Nyissa meg a Windows PowerShell Active Directory-modulját, és állítsa be a kívánt tulajdonságot a set-ADServiceAccount parancsmaggal.
Ha részletesebb tájékoztatást szeretne a tulajdonságok beállításáról, olvassa el a Set-ADServiceAccount című cikket a TechNet Library webhelyen, vagy írja be a Get-Help Set-ADServiceAccount parancsot a Windows PowerShell Active Directory-moduljának parancssorába, és nyomja le az ENTER billentyűt.
Meglévő kiszolgálófarm egy tagjának leszerelése
A következő műveletek végrehajtásához Tartománygazdák csoportbeli tagság, illetve tagoknak a biztonsági csoport objektumból való eltávolítására szóló jogosultság szükséges. A megfelelő fiókok és csoporttagságok használatáról az Alapértelmezett helyi és tartományi csoportok című cikk nyújt tájékoztatást.
1. lépés: Tagszámítógép eltávolítása a csoportosan felügyelt számítógépfiókból
Ha biztonsági csoportokkal kezeli a tagszámítógépeket, a következő módszerek valamelyikével távolítsa el a leszerelt tag számítógépfiókját a biztonsági csoportból (abból, amelynek a csoportosan felügyelt számítógépfiók tagszámítógépei a tagjai).
1. módszer: Active Directory - felhasználók és számítógépek
A módszer használatáról a következő cikkek nyújtanak tájékoztatást: Számítógépfiók törlése (a Windows felülete segítségével), illetve Különféle tartományok kezelése az Active Directory felügyeleti központjában.
2. módszer: drsm
A módszer használatáról a következő cikk nyújt tájékoztatást: Számítógépfiók törlése (parancssor segítségével).
3. módszer: A Windows PowerShell Active Directory-moduljának Remove-ADPrincipalGroupMembership parancsmagja
Ha részletesebb tájékoztatást szeretne erről, olvassa el a Remove-ADPrincipalGroupMembership cikket a TechNet Library webhelyen, vagy írja be a Get-Help Remove-ADPrincipalGroupMembership parancsot a Windows PowerShell Active Directory-moduljának parancssorába, és nyomja le az ENTER billentyűt.
Számítógépfiókok listázása esetén kérje le a meglévő fiókokat, és vegyen fel minden fiókot, az eltávolított fiók kivételével.
A következő műveletek végrehajtásához Tartománygazdák vagy Fiókfelelősök csoportbeli tagság, illetve az msDS-GroupManagedServiceAccount objektumok felügyeletére való jogosultság szükséges. A megfelelő fiókok és csoporttagságok használatáról az Alapértelmezett helyi és tartományi csoportok című cikk nyújt tájékoztatást.
Tagszámítógépek eltávolítása a Set-ADServiceAccount parancsmaggal
Futtassa a Windows PowerShellt a Windows Server 2012 tartományvezérlő tálcájáról.
A Windows PowerShell Active Directory-modul parancssorába írja be a következő parancsokat, majd nyomja le az Enter billentyűt:
Get-ADServiceAccount [-Name] < karakterlánc > - PrincipalsAllowedToRetrieveManagedPassword
A Windows PowerShell Active Directory-modul parancssorába írja be a következő parancsokat, majd nyomja le az Enter billentyűt:
Set-ADServiceAccount [-Name] <karakterlánc> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
Paraméter |
Karakterlánc |
Példa |
---|---|---|
Név |
A fiók neve |
ITFarm1 |
PrincipalsAllowedToRetrieveManagedPassword |
A tagszámítógépek számítógépfiókja, vagy az a biztonsági csoport, amelynek a tagszámítógépek tagjai |
Számítógép1, Számítógép3 |
Példa
A tagszámítógépek eltávolításához például írja be a következő parancsokat, majd nyomja le az ENTER billentyűt
Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1 Host3
2. lépés: Csoportosan felügyelt szolgáltatásfiók eltávolítása a rendszerből
Távolítsa el a csoportosan felügyelt szolgáltatásfiók hitelesítő adatait a tagszámítógépről. Erre használhatja az Uninstall-ADServiceAccount parancsmagot vagy a NetRemoveServiceAccount API-t a gazdarendszeren.
Ezekhez a műveletekhez legalább a Rendszergazdák csoportba vagy ezzel egyenértékű csoportba kell tartoznia. A megfelelő fiókok és csoporttagságok használatáról az Alapértelmezett helyi és tartományi csoportok című cikk nyújt tájékoztatást.
Csoportosan felügyelt szolgáltatásfiók eltávolítása az Uninstall-ADServiceAccount parancsmaggal
Futtassa a Windows PowerShellt a Windows Server 2012 tartományvezérlő tálcájáról.
A Windows PowerShell Active Directory-modul parancssorába írja be a következő parancsokat, majd nyomja le az Enter billentyűt:
Uninstall-ADServiceAccount < ADServiceAccount>
Példa
Ha például az ITFarm1 nevű csoportosan felügyelt szolgáltatásfiók gyorsítótárazott hitelesítő adatait kívánja eltávolítani, írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
Uninstall-ADServiceAccount ITFarm1
Ha részletesebb tájékoztatást szeretne az Uninstall-ADServiceAccount parancsmagról, írja be a Get-Help Uninstall-ADServiceAccount parancsot a Windows PowerShell Active Directory-moduljába, majd nyomja le az ENTER billentyűt, vagy olvassa el a TechNet webhely Uninstall-ADServiceAccount című ismertetését.
Meglévő kiszolgálófarm leszerelése
Ha egy meglévő kiszolgálófarmot szerel le, akkor el kell távolítania a következő objektumokat az Active Directoryból:
Ha a csoportosan felügyelt szolgáltatásfiók az egyetlen tag, akkor azt a hozzáférés-vezérlésre használt biztonsági csoportot, amelynek csoportosan felügyelt szolgáltatásfiók a tagja
Ha a biztonsági csoport csak tagszámítógépek számára használatos, azt a biztonsági csoportot, amelynek a tagszámítógépek a tagjai
A csoportosan felügyelt számítógépfiókot
A biztonsági csoportokat az Active Directory – felhasználók és számítógépek eszközzel, a dsrm segítségévével, illetve a Remove-ADGroup parancsmaggal törölheti. A csoportosan felügyelt számítógépfiókot az Active Directory – felhasználók és számítógépek eszközzel, illetve a Remove-ADServiceAccount parancsmaggal törölheti.
1. lépés: Active Directory-objektumok törlése
A következő műveletek végrehajtásához Tartománygazdák vagy Fiókfelelősök csoportbeli tagság, illetve az msDS-GroupManagedServiceAccount objektumok és a biztonsági csoport objektumok törlésére való jogosultság szükséges. A megfelelő fiókok és csoporttagságok használatáról az Alapértelmezett helyi és tartományi csoportok című cikk nyújt tájékoztatást.
Csoportosan felügyelt szolgáltatásfiók eltávolítása a Remove-ADServiceAccount parancsmaggal
Futtassa a Windows PowerShellt a Windows Server 2012 tartományvezérlő tálcájáról.
A Windows PowerShell Active Directory-modul parancssorába írja be a következő parancsokat, majd nyomja le az Enter billentyűt:
Remove-ADServiceAccount < ADServiceAccount>
Példa
Ha például az ITFarm1 nevű csoportosan felügyelt szolgáltatásfiókot kívánja törölni, írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
Remove-ADServiceAccount ITFarm1
Ha részletesebb tájékoztatást szeretne a Remove-ADServiceAccount parancsmagról, írja be a Get-Help Remove-ADServiceAccount parancsot a Window PowerShell Active Directory-moduljába, majd nyomja le az ENTER billentyűt, vagy olvassa el a TechNet webhely Remove-ADServiceAccount című ismertetését.
2. lépés: Csoportosan felügyelt szolgáltatásfiók eltávolítása a rendszerből
Alkalmazza e témakör 2. lépés: Csoportosan felügyelt szolgáltatásfiók eltávolítása a rendszerből című részében ismertetett eljárást.