托管服务帐号：由于对运行的服务的域用户账号密码管理起来较麻烦，因此托管服务帐号(Managed Service Account)应运而生。所谓托管服务帐号，也即委托给操作系统进行管理的帐号。托管服务帐号(MSA)的密码由操作系统自动设定、维护，定期自动更新，并不需要管理员手工干预，对管理员来说，好像此帐号没有密码一样。

托管服务帐号(MSA)的作用

托管服务账号使得服务相互隔离，需要单独进行自动密码管理

减少服务中断，从而降低TCO

对于每服务或每服务器使用单一的托管服务账号(服务账号不能被多台计算机共享)

在Windows Server 2008 R2域功能级别上能更好的进行SPN管理(允许服务器对服务账号的重命名)

操作如下：

1.添加KDSrootKey

Add-KDSRootKey –EffectiveTime((Get-Date).AddHours(-10))

2.创建管理服务账号：

New-ADServiceAccount –Name SampleApp_SVR1–DNSHostname -PrincipalsAllowedToRetrieveManagedPasswordLON-SVR1$

3.将管理服务账号分配至应用服务器

Add-ADComputerServiceAccount –identityLON-SVR1 –ServiceAccount SampleApp_SVR1

检查

Get-ADServiceAccount -Filter *