創(chuàng)建AD FS服務(wù)賬戶

接著我們要添加一個(gè)AD FS服務(wù)器角色專屬的服務(wù)賬戶，來提供給后續(xù)的AD FS服務(wù)的運(yùn)行使用。

先執(zhí)行“Import-Module ActiveDirectory”命令來完成ActiveDirectory相關(guān)模塊的匯入。然后執(zhí)行以下的命令參數(shù)范例，其中所選定的ADFS完整域名，以及所要使用的服務(wù)主體名稱(SPN，Service Principal Names)皆必須修改成您實(shí)際所使用的。此命令執(zhí)行后如果出現(xiàn)了“機(jī)碼不存在”的錯(cuò)誤訊息，這表示您尚未創(chuàng)建KDS根密鑰或是該密鑰生效時(shí)間還沒到。

New-ADServiceAccount ADFSManaged -DNSHostName adfs.lab01.com -Princ ipalsAllowedToRetriev eManagedPassword ADFS-ServicePrincipalNames HTTP/ADFS,HTTP/ADFS.lab01.com

在確認(rèn)添加ADFS專屬的AD服務(wù)賬戶時(shí)沒有出現(xiàn)錯(cuò)誤，便可以開啟“Active Directory用戶和計(jì)算機(jī)”界面，然后展開至“Managed Service Accounts”節(jié)點(diǎn)下，來查看所創(chuàng)建的服務(wù)賬戶是否有出現(xiàn)。

確認(rèn)AD FS的AD服務(wù)賬戶成功創(chuàng)建之后，接下來請(qǐng)到AD FS的主機(jī)中開啟Windows PowerShell界 面，然后先執(zhí)行“Import-Module ActiveDirectory”命 令 來匯入ActiveDirectory管理模塊，接著再執(zhí)行“Install-ADServiceAccount -Identity "ADFSManaged"”命令參數(shù)，即可成功將此服務(wù)賬戶完成在本地的安裝。

若想要檢查特定的服務(wù)主體名稱(SPN)之關(guān)鍵詞，可以執(zhí)行“setspn -Q "HTTP/ADFS"”即可。如果是要顯示所有目前已創(chuàng)建的SPN清單，則可以執(zhí)行“setspn -l”命令。如果需要臨時(shí)添加SPN則可以執(zhí)行例如“setspn-s " HTTP/adfs.lab01.com"”命令。萬一您需要重置整個(gè)SPN設(shè)置回系統(tǒng)默認(rèn)值，則只要執(zhí)行“setspn -r servername”命令即可。

為何需要?jiǎng)?chuàng)建受管理的AD服務(wù)賬戶？

對(duì)于Windows服務(wù)器平臺(tái)上各類應(yīng)用系統(tǒng)所需要使用的服務(wù)，為了方便使用與管理，在傳統(tǒng)的做法上，我們通常會(huì)直接選定一個(gè)管理員組的成員賬戶，然而這樣的做法其實(shí)具有高風(fēng)險(xiǎn)性的，原因便是惡意攻擊者可能會(huì)通過一些在Internet就可取得的密碼破解工具，以可逆性的方法途徑從此服務(wù)器系統(tǒng)之中讀取到其服務(wù)帳戶密碼。因此，創(chuàng)建Active Directory專屬的服務(wù)帳戶，來提供應(yīng)用程序服務(wù)的運(yùn)行，便可以避免可能的安全性疑慮。