我相信服务帐号对windows服务器安全来说是最严重的威胁之一。我的理由很简单——许多应用无法用服务帐号运行。过去，管理员可以选择用域帐号或本地系统帐号。后来微软增加了本地服务和网络服务选项，但是这两者用起来都并不理想。

　　在Windows Server 2008 R2中,微软采取新措施来减少与服务帐号相关联的漏洞，采用新的受管理服务帐号。让我们在升级到R2之前先看一下目前使用服务帐号的情况下都有哪些已发现的问题。

　　用本地帐号和域帐号的问题

　　使用本地帐号最大的问题是它没办法集中管理。而用域帐号的话，它们有时候又不太安全。

　　大多数人不需要更改域服务帐户的密码，因为这真是一件痛苦的事。一旦密码过期，他们就必须用常规方法来重置，但是要使用新的密码还必须重新配置服务控制管理器。这个时候，受到影响的服务必须要重启，这必然会影响依赖它的应用。就算这不是特别麻烦，很多管理员也拒绝为服务帐号配置锁定设置。这是因为当有人多次输错密码锁定帐号而导致重要应用停止时没有人愿意向老板解释原因。

　　域服务帐号常常带来严重安全威胁的另一个原因是使用它们的方式。当一个应用需要一个服务帐号时，该帐号总会得到许可能让它作为操作系统核心一部分。根据应用需求，可能还需要给这个服务帐号其它额外权限。赋予这些权限本身不是问题。但是问题在于，一些管理员习惯于重复使用这些服务帐号。

　　为了更好的理解我的意思，我们用微软的Sharepoint 2007来举例，它最多可能需要5个不同的服务帐号。没什么能让管理员停止为所有需要的帐户使用同一个域帐户。牢记一点，微软为sharepoint设计多个服务帐号而不是一个帐号肯定有原因。每个帐号都得到不同的权限。如果你只用一个帐号来运行sharepoint所有服务，你的服务会因为帐号权限过大而被迫停止。

　　考虑到这类帐号通常会有一个固定密码，而且没有锁定保护设置，服务帐号会带来这些安全威胁的原因很明显。另外，有些公司在多台服务器上使用相同的服务帐号，这意味着任何一台用这个帐号的服务器都有可能受到攻击威胁。

　　使用受管理服务帐号

　　受管理服务帐号是windows server 2008 R2中的一种特殊类型的域帐号，它可以对密码和服务委托名称（SPN）进行自动管理。由于windows管理服务帐号密码，所以整个过程是无缝的，这是使用受管理的服务帐号最大的好处之一。它不但没有管理负担（在初始化设置完成之后），在帐号密码更改之后对服务也没有任何影响。

　　另外，Windows还保护帐号不被重复使用。换句话说，管理员不能在他所有的Exchange服务器上用同一个帐号，每台Exchange服务器都需要它独一无二的受管理服务帐号。虽然有些管理员觉得这很令人沮丧，但是没有人怀疑防止服务帐户的重复使用会提高安全性。

　　启用受管理服务帐号

　　为了充分使用受管理服务帐号，域必须运行在windows server 2008 R2功能级别，而需要运行受管理服务的电脑也必须运行在R2或者windows7上。

　　如果你想用受管理服务帐号，微软一般会建议让所有域控制器都运行windows server 2008 R2。这么说，如果你的活动目录架构已经扩展到R2，但是并不是所有的域控制器都运行在R2上，那么你同样也可以使用受管理服务帐号。密码自动管理也可以顺畅工作，但是你必须为你的受管理服务帐号手动配置SPN数据。

　　最后，在你开始使用受管理服务帐号前，确认你的应用支持这个功能，这非常重要。尽管Exchange Server等微软产品允许使用受管理服务帐号（有一些小的限制），但还是有些其它应用不支持该功能。意外的是，SQL Server就是其中之一。受管理服务帐号同样也不兼容Windows任务计划。