在 Windows Server 2025中，委派托管服务账户（dMSA，Delegated Managed Service Accounts）是一种可以简化服务账户管理的功能。dMSA 是一种特殊类型的受管理账户，通常用于在多台计算机上运行服务，且可以进行自动密码管理和账户的委派。

在 Windows Server 2025 中设置委派的托管服务帐户 （dMSA） | Microsoft Learn

掌握dMSAs安全性：Windows Server 2025如何增强服务账户并抵御新威胁 |Windows 论坛

 

委派托管服务账户（dMSA，Domain Managed Service Accounts） 是 Windows 操作系统中用于提高安全性和简化服务账户管理的一项功能。它是通过 Active Directory 提供的一种特殊类型的托管服务账户，旨在管理与服务相关的安全身份验证问题。dMSA 在 Windows 环境中的发展历程反映了对服务账户管理的需求日益增加，尤其是在大规模企业环境中。以下是 dMSA 在 Windows 操作系统中的发展时间线：

1. 早期阶段：传统服务账户（Windows 2000 - Windows 2008）

• Windows 2000 / Windows Server 2003：

  • 在这一时期，服务账户通常是由 IT 管理员手动创建的本地账户或域账户。管理员需要手动管理密码，确保服务账户的权限和访问控制。
  • 管理员通常需要定期更改密码，并且可能会面临密码泄露、管理复杂性和权限管理困难等问题。
  • 没有集中管理服务账户的工具，导致这些账户的密码难以管理，且可能不符合最佳安全实践。

• Windows Server 2008：

  • 组策略管理 和 Active Directory 在 Windows Server 2008 中得到了进一步的完善，增强了对服务账户的管理能力。尽管这个时期开始引入一些对服务账户的管理功能，但传统的手动管理服务账户仍然占据主导地位。

2. 引入托管服务账户（MSA，Managed Service Accounts）（Windows Server 2008 R2）

• Windows Server 2008 R2（2009）：
  • 托管服务账户（MSA） 首次引入。MSA 是 Active Directory 中的一种特殊类型的账户，它为运行在 Windows 服务器上的单个服务提供独立的身份。
  • MSA 提供了自动密码管理和简化的账户管理功能。与传统的服务账户不同，MSA 的密码由系统自动管理，且每个服务有自己的专用账户和密码，这减少了密码泄露的风险。
  • Windows Server 2008 R2 引入了 Active Directory 的一些新特性，如支持为服务账户自动更新密码以及委派权限。通过这些功能，管理员不再需要手动更新服务账户的密码。

3. 委派托管服务账户（dMSA，Domain Managed Service Accounts）（Windows Server 2012）

• Windows Server 2012（2012）：
  • 委派托管服务账户（dMSA） 作为托管服务账户（MSA）的扩展，引入了新的功能，允许服务账户跨多台计算机进行管理。dMSA 使得域中的服务能够使用统一的身份进行身份验证，而不必在每台机器上管理不同的账户。
  • 这意味着 dMSA 可以在多台计算机上使用，而不仅仅是局限于单一计算机。dMSA 自动管理密码和账户，进一步增强了安全性并简化了管理。
  • Windows Server 2012 引入了 Active Directory PowerShell cmdlets，这使得管理员可以使用命令行工具轻松地管理 dMSA，包括创建、分配和删除 dMSA。
  • 此时，dMSA 开始得到广泛应用，尤其是在需要跨多个服务器运行的服务（例如 Web 服务、数据库服务、文件服务等）中。通过 dMSA，组织能够更加安全和高效地管理多个服务账户。

4. 增强功能与支持（Windows Server 2016 - Windows Server 2019）

• Windows Server 2016（2016）：

  • Windows Server 2016 增强了 dMSA 的功能，尤其是在跨多个计算机上的使用能力上。dMSA 在多个计算机和虚拟机上管理时变得更加简便。
  • 引入了 群组托管服务账户（gMSA，Group Managed Service Accounts），扩展了 dMSA 的能力，使其不仅支持单台计算机，也能够跨多台计算机和虚拟机进行管理。gMSA 使得一个服务账户可以跨多个服务器实例运行，从而进一步简化了服务账户的管理。
  • gMSA 支持更复杂的计算环境，尤其是与现代数据中心、集群和容器化部署相关的环境中。

• Windows Server 2019（2018）：

  • 在 Windows Server 2019 中，dMSA 和 gMSA 得到了进一步增强，支持更多的自动化和高级安全功能。例如，通过 Azure AD，Windows Server 2019 可以与云环境中的身份验证进行集成，从而提供更强的安全保障。
  • 引入了对 Windows Containers 和 Hyper-V 环境中运行的服务账户的支持，进一步扩展了托管服务账户的应用场景，尤其是在高度虚拟化的环境中。

5. 当前阶段与未来发展（Windows Server 2022 - Azure AD 集成）

• Windows Server 2022（2021）：
  • Windows Server 2022 继续增强了对 dMSA 和 gMSA 的支持，特别是在与 Azure Active Directory 的集成方面。这意味着，企业可以更加轻松地在本地数据中心和云环境中实现无缝的服务账户管理。
  • Windows Server 2022 继续提供对高安全性服务的支持，确保托管服务账户的使用不仅仅局限于传统的数据中心，还可以跨平台和云环境进行管理。
  • 支持 Windows Admin Center 和 PowerShell 更加智能地管理这些账户，从而提高了自动化和监控能力。

总结：

• Windows Server 2008：初步引入了托管服务账户（MSA），解决了传统服务账户密码管理的问题。
• Windows Server 2012：引入了委派托管服务账户（dMSA），使得服务账户可以跨多台计算机使用。
• Windows Server 2016：引入了群组托管服务账户（gMSA），进一步增强了跨计算机和虚拟机的支持。
• Windows Server 2019：扩展了 dMSA 和 gMSA 的能力，支持云环境、容器化环境和现代数据中心架构。
• Windows Server 2022：继续优化 dMSA 和 gMSA，特别是在与 Azure Active Directory 集成方面，推动跨平台和云计算服务账户管理的能力。

通过这些发展，Windows 操作系统在简化服务账户管理的同时，提高了安全性和自动化能力，使企业能够更高效、更安全地管理其 IT 基础设施。

---

在 Windows Server 2025 中，委派托管服务账户（dMSA，Domain Managed Service Accounts） 是一种特殊类型的服务账户，它简化了服务账户的管理，特别是当服务运行在多个主机上时。与传统的服务账户相比，dMSA 可以自动管理密码，避免了手动设置和密码过期的问题。

以下是与委派托管服务账户（dMSA）相关的注册表管理设置，以及如何配置和使用它们：

1. dMSA 的基础概念

dMSA 是域级账户，不依赖于本地计算机账户的密码管理。它支持多个主机使用同一个账户，因此它特别适用于需要在多个计算机上运行相同服务的场景。例如，在集群中运行的 SQL Server 或 IIS 服务，可以使用 dMSA 来简化安全性和身份验证。

2. dMSA 注册表管理设置

委派托管服务账户 (dMSA) 的配置通常不直接通过注册表完成，而是通过 Active Directory PowerShell 模块 和 组策略 来管理。不过，您仍然可以通过注册表查看和管理一些与 dMSA 相关的设置。

(1) dMSA 的注册表项

dMSA 配置的某些信息存储在注册表中，主要用于服务管理和身份验证。例如，您可以在 Windows 注册表中找到以下相关项：

• 服务账户配置 dMSA 配置项通常位于：

  Copy Code

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<服务名>]

  这里 <服务名> 是特定服务的名称，您可以通过注册表中的相关信息查看该服务是否配置为使用 dMSA。

• dMSA 密码缓存 dMSA 的密码由 Active Directory 自动管理和刷新，通常不会直接暴露在注册表中。但是，某些缓存和凭据管理信息可以通过注册表项进行访问。例如：

  Copy Code

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers]

(2) 启用 dMSA 支持的注册表设置

在某些情况下，您可能需要手动配置注册表以启用和管理 dMSA 的使用。以下是一些相关的注册表项，您可以在部署和使用 dMSA 时进行配置：

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KDC]
"AllowDomainAccount"=dword:00000001

• 设置 "AllowDomainAccount" 为 1 允许使用域帐户（如 dMSA）进行身份验证。

(3) dMSA 密码管理和策略

dMSA 的密码由 Active Directory 自动管理，并且不会直接暴露在注册表中。要管理 dMSA 的密码策略，您可以通过组策略来控制。

• 在 组策略 中，您可以启用密码策略以确保 dMSA 账户密码的安全性。

  路径: 计算机配置 -> 管理模板 -> 系统 -> 安全性 -> 服务账户管理。

3. 如何使用 PowerShell 配置 dMSA

通常，dMSA 是通过 PowerShell 配置和管理的，以下是常见的 PowerShell 命令：

• 创建 dMSA：

  powershellCopy Code

  New-ADServiceAccount -Name "dMSAName" -RestrictToOutboundAuthenticationOnly

• 为计算机启用 dMSA：

  powershellCopy Code

  Install-ADServiceAccount -Identity "dMSAName"

• 测试 dMSA 是否工作正常：

  powershellCopy Code

  Test-ADServiceAccount -Identity "dMSAName"

4. dMSA 使用的组策略设置

dMSA 的管理和策略配置通常通过组策略来完成。例如，您可以设置 Kerberos 和 身份验证协议，以确保 dMSA 能在多个计算机上正常工作。通过组策略，您可以增强服务账户的安全性。

相关的组策略设置：

• 账户锁定策略：确保服务账户在密码错误尝试次数达到指定限制后被锁定。
• Kerberos 设置：确保 dMSA 能顺利地进行 Kerberos 身份验证。
• 服务账户管理：通过组策略限制某些服务只能使用 dMSA 来提高安全性。

5. 与传统服务账户的区别

dMSA 提供以下优势，相比传统的服务账户：

• 自动密码管理：密码由 Active Directory 自动管理，不需要人工干预。
• 无需密码存储：服务账户密码的管理和存储由系统和 Active Directory 完成。
• 支持多计算机共享：dMSA 可以跨多个计算机共享，同一账户可以在多个主机上使用，而传统的服务账户仅限于本地计算机。

 

委派托管服务账户（dMSA）通过简化服务账户管理，使企业能够更安全和高效地管理跨多个主机运行的服务。尽管许多配置项通过组策略和 PowerShell 来管理，但注册表仍然提供了一些辅助设置，帮助管理员进行服务账户的配置与安全性强化。

---

在 Windows Server 中，委派托管服务账户（dMSA，Delegated Managed Service Accounts）是一种可以简化服务账户管理的功能。dMSA 是一种特殊类型的受管理账户，通常用于在多台计算机上运行服务，且可以进行自动密码管理和账户的委派。

创建和配置委派托管服务账户（dMSA）

要配置 dMSA，您需要通过 Active Directory 和 PowerShell 来创建和设置该账户。虽然 dMSA 的配置并不直接通过注册表进行，但可以通过一些配置来进行管理。以下是配置委派托管服务账户的一般步骤：

1. 配置 Active Directory

dMSA 需要 Active Directory 来进行配置，并且必须启用 Active Directory 功能。首先，确保您的域控制器版本支持 dMSA（Windows Server 2012 及更高版本）。

启用 Active Directory 功能

首先，启用所需的 Active Directory 模块，使用 PowerShell 执行以下命令：

powershellCopy Code

Install-WindowsFeature RSAT-AD-PowerShell

创建 dMSA 账户

使用 PowerShell 创建 dMSA：

powershellCopy Code

New-ADServiceAccount -Name "dMSA-AccountName" -RestrictToOutboundAuthenticationOnly

• Name：dMSA 账户的名称。
• RestrictToOutboundAuthenticationOnly：此选项使得服务账户只能在特定的计算机上进行身份验证，增加安全性。

分配访问权限

配置所需的计算机上，允许它们使用该 dMSA 账户。在这些计算机上，执行以下命令：

powershellCopy Code

Add-ADComputerServiceAccount -Identity "ComputerName" -ServiceAccount "dMSA-AccountName"

• Identity：指定计算机名称。
• ServiceAccount：指定 dMSA 账户的名称。

2. 配置注册表（间接操作）

虽然 dMSA 本身的配置不直接通过注册表进行，但是您可以对服务账户进行一些注册表调整以便于管理。例如，您可以配置服务允许使用 dMSA 帐户来启用自动身份验证。

启用服务使用 dMSA 账户:

dMSA 账户的配置通常需要在特定服务的注册表项中进行。例如，您可以编辑服务的启动选项，确保服务使用正确的 dMSA 账户。

1. 找到服务的注册表项路径：

   Copy Code

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<ServiceName>

2. 修改 ImagePath 或 ObjectName，并确保它指向正确的 dMSA 账户。例如：

   Copy Code

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<ServiceName>]
   "ObjectName"="DOMAIN\username$"

   • DOMAIN\username$：dMSA 账户名称格式，$ 符号表示这是一个受管理账户。

3. 配置计算机使用 dMSA 账户

一旦创建了 dMSA 账户并将其分配给计算机，您需要在该计算机上启动服务。确保服务可以正确使用该 dMSA 账户。

1. 打开“服务”管理器。
2. 选择需要使用 dMSA 账户的服务，右键点击并选择“属性”。
3. 在“登录”标签中，选择“此账户”，并输入 dMSA 账户的名称（例如 DOMAIN\dMSA-AccountName$）。
4. 确保该服务可以自动启动。

4. 自动密码管理

dMSA 账户的密码由系统自动管理，无需手动设置。只要在 Active Directory 中创建了 dMSA，密码就会由 Windows 定期更新。确保在所有相关计算机上都可以访问 Active Directory，且密码同步正常。

小结

虽然配置 dMSA 账户本身并不通过注册表直接进行，但通过配置 Active Directory 和服务管理，您可以让服务使用这些受管理的账户，并通过服务的注册表项进行细节调整。确保服务账户在所有相关计算机上都有适当的权限，并自动处理密码管理。

---

在 PowerShell 中配置和管理委派托管服务账户（dMSA）需要一系列步骤，具体如下：

1. 确保环境准备

• Windows Server 2008 或更高版本：dMSA 要求 Active Directory 环境为 Windows Server 2008 或更高版本。
• Active Directory 配置：确保启用了 Active Directory 域服务 (AD DS) 和 Active Directory 证书服务 (AD CS)。

2. 创建 dMSA 账户

使用 PowerShell 来创建 dMSA 账户。首先，需要确保已经安装了 AD DS 和 AD PowerShell 模块，然后通过以下命令创建一个新的 dMSA 账户：

powershellCopy Code

New-ADServiceAccount -Name <AccountName> -RestrictToOutboundAuthenticationOnly

• <AccountName> 替换为您的 dMSA 账户名称。
• -RestrictToOutboundAuthenticationOnly 选项确保账户仅在指定的主机上使用。

3. 安装并配置 dMSA

在目标服务器上安装并启用 dMSA 账户。使用以下 PowerShell 命令：

powershellCopy Code

Install-ADServiceAccount -Identity <AccountName>

这将把 dMSA 账户安装到目标计算机上，使其准备好与服务（如 IIS、SQL Server、Exchange 等）相关联。

4. 将 dMSA 账户与服务关联

一旦 dMSA 被创建并安装到目标服务器上，您可以将其与具体的服务进行关联。以下是将 dMSA 与 IIS 服务结合的示例：

powershellCopy Code

Set-Service -Name 'IIS' -StartupType Automatic

您也可以通过其他命令将 dMSA 账户设置为运行服务。

5. 配置委派权限

在 Active Directory 中，您可以委派特定的权限来使 dMSA 账户能够访问所需的资源。可以通过委派操作确保账户只能访问它所需要的资源，避免过度授权。

6. 启用客户端计算机

确保客户端计算机已经加入到 Active Directory 域，并且已经安装了与 dMSA 账户的相关设置。确保该计算机正确配置，以便能够识别并使用 dMSA 账户。

7. 常见应用场景

• Web 应用程序与 IIS 服务：为 IIS 提供更安全的服务账户管理，使用 dMSA 以简化 Web 应用程序的配置。
• 数据库服务：如 SQL Server，通过 dMSA 来保证密码的自动更新和最小权限管理。
• Exchange 服务器：在 Exchange 上使用 dMSA 可以提升安全性，简化邮件服务账户管理。
• 分布式系统：在多个服务器的环境中，dMSA 提供一致的安全性和管理，适合现代化分布式架构。

 

dMSA 通过自动管理密码、简化配置、减少管理负担和增强安全性，成为 Windows Server 环境中服务账户管理的重要工具。它对于提升组织安全性、减少潜在的管理错误和提升审计能力都具有显著的好处。

---

委派托管服务账户（dMSA，Domain Managed Service Accounts）是 Windows Server 中的一项强大的安全功能，旨在简化和增强服务账户的管理。与传统的服务账户相比，dMSA 提供了许多优势，尤其是在密码管理、访问控制和安全性方面。

dMSA 的特点与优势

1. 自动密码管理： dMSA 不需要管理员手动设置和更新密码。密码由 Active Directory 自动管理，并定期更换。这减少了密码泄露的风险，也消除了管理员忘记更新密码的问题。

2. 简化服务账户管理： 传统的服务账户管理需要在每个计算机上手动配置和维护密码，尤其在有多个服务器时，可能导致密码同步问题。dMSA 提供了集中式的密码管理，服务账户的密码仅在域控制器中进行更新，简化了管理工作。

3. 增强的安全性： 使用 dMSA 时，账户的权限是最小化的，即仅授予服务运行所需的特定权限。这样可以减少攻击面，降低恶意软件滥用账户权限的风险。此外，dMSA 支持 Kerberos 认证，它可以加强身份验证的安全性。

4. 服务账户活动的可见性和日志记录： 通过 Active Directory 和事件日志，可以更清晰地追踪和记录 dMSA 账户的活动，提供更好的审计和合规性。这对于监控服务账户的活动、排查故障和确保安全性非常重要。

5. 委派特定权限： dMSA 可以被委派访问域中的特定资源，无需全局授权。这使得对服务账户的权限管理更加精细化和灵活，避免了“过度授权”的问题。

如何配置 dMSA

1. 准备环境：

   • 确保 Active Directory 运行 Windows Server 2008 或更高版本。
   • 安装并配置 Active Directory 模式，使其支持 dMSA。必须启用 Active Directory 证书服务 和 Active Directory 域服务 角色。

2. 创建 dMSA 账户：

   • 使用 PowerShell 创建 dMSA 账户：
     powershellCopy Code

     New-ADServiceAccount -Name <AccountName> -RestrictToOutboundAuthenticationOnly

   这将创建一个新的 dMSA 账户，并确保它只能在所需的主机上使用。

3. 将 dMSA 与服务关联：

   • 安装并配置 dMSA 账户，使其可供服务使用。您需要将 dMSA 账户与目标服务（如 IIS、SQL Server、Exchange 等）关联。对于 IIS，可以使用以下命令：
     powershellCopy Code

     Install-ADServiceAccount -Identity <AccountName>

   • 启用服务账户并将其配置为使用 dMSA。

4. 配置委派：

   • 可以委派特定的权限来访问所需的资源，例如数据库、文件共享等。这可以通过 Active Directory 权限模型来实现，确保服务账户仅能访问它需要的资源。

5. 在客户端计算机上启用 dMSA：

   • 为了让 dMSA 在客户端计算机上有效，必须确保客户端计算机已加入域并且正确配置，以便能够识别和使用 dMSA 账户。

常见应用场景

1. Web 应用程序和 IIS 服务： 使用 dMSA 来为 IIS 服务运行时提供安全认证和访问控制，简化 Web 应用程序的服务账户管理。

2. 数据库服务： 将 dMSA 用于 SQL Server 或其他数据库服务，保证服务账户的密码自动更新，并确保权限最小化。

3. Exchange 服务器： 在 Exchange Server 上，dMSA 可以简化邮件服务和其他后台服务的账户管理，并提高安全性。

4. 分布式系统中的服务账户： 在涉及多个服务器的分布式系统中，dMSA 可以为每个服务提供一致的安全性和自动管理。

 

委派托管服务账户（dMSA）是 Windows Server 中的重要安全功能，它通过自动化密码管理、简化服务账户配置、提高安全性和增强审计功能，极大地减轻了管理员的负担并降低了安全风险。通过在合适的场景中配置和使用 dMSA，组织能够提升服务账户的管理效率和安全性，特别适合现代化的服务架构和分布式环境。

---