Чтобы задания в планировщике не прекращали выполняться при смене пароля учётки от имени которой происходит выполнение, придуман замечательный тип учётных записей:
ManagedServiceAccount или Управляемые служебные учетные записи.
В чём их преимущества?
1. Сменой пароля занимается AD c Kerberos.
2. Такие учётки не имеют права локального входа в Windows.
Что для них нужно?
Надо иметь Windows Server 2008 R2, AD PowerShell. Кажется всё.
Как создать такую учётку?
Нашёл подробное описание, а отличная инструкция - тут. На всякий случай продублирую у себя.
Запускаем PowerShell с соответствующими правами (н-р, админа домена) и выполняем:
# импортируем модуль ActiveDirectory
Import-Module ActiveDirectory
# создаем учетную запись
New-ADServiceAccount -Name MSA-Serv01-Test1 -Enabled $true
# можно создавать MSA вот так
New-ADServiceAccount -Name MSA-Serv01-Test2 -Description "Second test MSA account" -displayname "MSA Test2"
Проверяем, что нам удалось создать учётку:
Get-ADServiceAccount -filter *
Привязка к компу.
Увы, MSA можно использовать только на одном компе.
Add-ADComputerServiceAccount -Identity SERV01 -ServiceAccount MSA-Serv01-Test1
Проверяем:
Get-ADServiceAccount -Identity MSA-Serv01-Test1 | Select HostComputers
На том компе, к которому привязали MSA, делаем следующее:
Выполняем команды
# импорт модуля
Import-Module ActiveDirectory
# установка MSA
Install-ADServiceAccount -Identity “MSA-Serv01-Test1″
Затем настраиваем задание в планировщике или службу.
Ах ты ж блин! Нельзя использовать MSA в планировщике! Вот оф. FAQ по MSA - technet.
Можно в: IIS, Exchange, AD LDS, службы.
Вот так вот. Для служб пригодится.
Write a comment