Windows Server 2008 R2托管服务账户的功能

今天部署AD RMS的时候，需要为RMS单独创建一个服务账号，于是联想起Server 2008 R2中的一个新功能：托管服务账号。首先我们先了解一下它是什么吧

托管服务帐号：由于对运行的服务的域用户账号密码管理起来较麻烦，因此托管服务帐号(Managed Service Account)应运而生。所谓托管服务帐号，也即委托给操作系统进行管理的帐号。托管服务帐号(MSA)的密码由操作系统自动设定、维护，定期自动更新，并不需要管理员手工干预，对管理员来说，好像此帐号没有密码一样。

托管服务帐号(MSA)的作用

托管服务账号使得服务相互隔离，需要单独进行自动密码管理

减少服务中断，从而降低TCO

对于每服务或每服务器使用单一的托管服务账号(服务账号不能被多台计算机共享)

在Windows Server 2008 R2域功能级别上能更好的进行SPN管理(允许服务器对服务账号的重命名)

了解完托管服务账号，我们来创建一个RMS服务账号吧!

1 创建MSA帐号：

登陆到DC上，以管理员身份打开Powershell,输入New-ADServiceAccount 进行服务账号创建。

2安装MSA帐号

创建帐号完成之后，就可以进行MSA帐号的安装操作了。在一台Windows Server 2008 R2的成员服务器或Windows 7的客户端计算机上安装托管服务账号，我这里的环境是Server 2012做为域成员服务器部署RMS

以管理员身份打开PowerShell,输入Install-ADServiceAccount命令。

3 为服务分配MSA帐号

打开服务控制管理器，展开配置-服务，在右侧双击所需配置的服务，在登录标签页下，选择"此账户"-"浏览",导航到之前创建的MSA帐号，点击确定。使用该服务以选定MSA帐号运行。

凭借无与伦比的安全优势，Windows Server 2008系统让不少朋友在不知不觉中加入了使用行列。不过，这并不意味着Windows Server 2008系统的安全性就能让人高枕无忧了；这不，当我们开启了该系统自带的远程桌面功能后，Windows Server 2008系统的安全问题随即就凸显出来了，如果我们不对远程桌面功能进行合适设置，那么Windows Server 2008服务器系统受到非法攻击的可能性就会加大。为了让Windows Server 2008系统更安全，本文特意总结几则远程桌面功能的安全设置技巧，希望大家能从中获得启发！强迫执行网络级身份验证 尽管传统操作系统也具有远程桌面功能，不过Windows Server 2008系统对远程桌面功能的安全性能进行了强化，它允许网络管理员通过合适设置来强迫远程桌面连接用户执行网络级身份验证，以防止一些非法用户也趁机使 用远程桌面功能来入侵Windows Server 2008服务器系统。要实现强迫远程桌面连接用户执行网络级身份验证操作时，我们必须按照如下步骤来设置Windows Server 2008系统的远程桌面连接参数：  

 首先以超级用户的身份登录进入Windows Server 2008服务器系统，打开对应系统的“开始”菜单，从中依次选择“程序”、“管理工具”、“服务器管理器”选项，打开本地服务器系统的服务器管理器控制台窗口；其次将鼠标定位于服务器管理器控制台窗口左侧显示区域中的“服务器管理”节点选项上，在对应“服务器管理”节点选项的右侧显示区域，单击“服务器摘要”设置区域中的“配置远程桌面”链接，打开服务器系统远程桌面功能的设置对话框；

  在该设置对话框的“远程桌面”处，服务器系统共为我们提供了三个设置选项，如果我们想让局域网中的任何一台普通计算机都能顺利使用远程桌面连接来远程控 制Windows Server 2008服务器系统时，那应该将“允许运行任意版本远程桌面的计算机连接”功能选项选中，当然这种功能选项容易对Windows Server 2008服务器系统的运行安全性带来麻烦。

 为了让我们能够安全地使用远程桌面功能来远程控制服务器，Windows Server 2008系统推出了“只允许运行带网络级身份验证的远程桌面的计算机连接”这一控制选项（如图1所示），我们只要将该控制选项选中，再单击“确定”按钮保 存好设置操作，日后Windows Server 2008系统就会自动强制对任何一位远程桌面连接用户执行网络级身份验证操作了，这样的话非法用户自然也就不能轻易通过远程桌面连接功能来非法攻击 Windows Server 2008服务器系统了。

  只许特定用户使用远程桌面 要是开通了Windows Server 2008服务器系统的远程桌面功能，本地服务器中也就多开了一扇后门，有权限的用户能进来，没有权限的用户同样也能进来，如此一来本地服务器系统的运行安 全性自然就容易受到威胁。事实上，我们可以对Windows Server 2008服务器系统的远程桌面功能进行合适设置，让有远程管理需求的特定用户能从远程桌面这扇后门中进来，其他任何用户都不允许自由进出，那样的话 Windows Server 2008服务器系统受到非法攻击的可能性就会大大降低了；要想让特定用户使用远程桌面功能，我们可以按照如下操作来设置Windows Server 2008服务器系统：

 首先打开Windows Server 2008服务器系统的“开始”菜单，从中依次选择“程序”、“管理工具”、“服务器管理器”选项，进入本地服务器系统的服务器管理器控制台窗口；  

  其次单击服务器管理器控制台窗口右侧区域中的“配置远程桌面”链接选项，打开服务器系统远程桌面功能的设置对话框，单击该对话框中的“选择用户”按钮，系统屏幕上将会出现如图2所示的设置窗口；   

  将该设置窗口中已经存在的用户账号一一选中，并单击“删除”按钮；之后，再单击“添加”按钮，在其后出现的用户账号浏览对话框中，找到有远程管理需求的 特定用户账号，并将该账号选中添加进来，再单击“确定”按钮退出设置操作，这样的话任何一位普通用户日后都不能使用远程桌面功能来对Windows Server 2008服务器系统进行远程管理了，而只有在这里设置的特定用户才有权限通过远程桌面连接访问目标服务器系统。

 禁止administrator使用远程桌面 在缺省状态下，Windows Server 2008服务器系统允许administrator账号使用远程桌面功能，为了防止非法攻击者尝试使用该用户账号来攻击本地服务器系统，我们可以按照下面 的操作来禁止administrator账号通过远程桌面连接来访问Windows Server 2008服务器系统：由于从服务器 系统中无法直接删除administrator账号，为此我们可以采用最为极端的方法，那就是将administrator账号强行禁用；禁用该用户账号 最简单的方法就是先依次单击服务器系统桌面中的“开始”/“程序”/“附件”选项，从下拉菜单中选中“命令提示符”命令，并用鼠标右键单击该命令选项，再 执行右键菜单中的“以管理员身份运行”命令，打开Windows Server 2008系统的MS-DOS工作窗口，在该窗口的命令行中执行字符串命令“net user administrator /active:no”就可以了。

 不过，上面的方法往往会影响网络管理员正常管理服务器系统，为此我们还可以通过为administrator账号更名的方式，来禁止administrator使用Windows Server 2008系统的远程桌面连接：

首先以超级用户的身份登录进入Windows Server 2008服务器系统，依次单击该系统桌面中的“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“gpeditmsc”，单击“确定”按钮，打开本地服务器系统的组策略编辑控制台窗口；  

  其次在该控制台窗口的左侧列表区域中，将鼠标定位于“计算机配置”分支选项上，再从该分支下面依次展开“Windows设置”/“安全设置”/“本地策 略”/“安全选项”，在对应“安全选项”的右侧显示区域中，双击“帐户：重命名系统管理员”目标组策略选项，打开如图3所示的选项设置窗口，在该窗口中我 们就能将administrator的名称修改成其他人不容易猜中的账号名称，最后单击“确定”按钮就能使设置生效了。   

  当然，我们也可以通过将administrator账号的终端登录权限取消的方法，来达到禁止administrator使用远程桌面功能的目的；在取 消administrator账号的终端登录权限时，我们可以先按前面操作打开服务器系统的组策略编辑控制台窗口，将鼠标定位于组策略编辑控制台窗口左侧 区域中的“计算机配置”分支选项上，再从该分支下面依次展开“Windows设置”/“安全设置”/“本地策略”/“用户权限分配”子项，在对应“用户权 限分配”子项的右侧显示区域中，双击目标组策略选项“通过终端服务允许登录”，在其后弹出的窗口中将administrators账号删除掉，如此一来， 当非法用户尝试使用administrator账号远程连接Windows Server 2008服务器系统时，就会出现拒绝登录的报警提示。

 只许特定计算机使用远程桌面 有的时候，为了防止局域网中的计算机病毒随意通过远程桌面连接传染给Windows Server 2008服务器系统，我们需要限定任何用户只能从局域网中特定的安全计算机上使用远程桌面功能，来远程控制目标服务器系统。为了实现只许特定计算机使用远 程桌面与Windows Server 2008服务器系统建立连接的目的，我们可以按照如下步骤来设置本地服务器系统：

 首先以系统管理员权限登录进入Windows Server 2008服务器系统，依次单击“开始”/“运行”命令，打开系统运行文本框，在其中输入“gpeditmsc”字符串命令，单击“确定”按钮，打开组策略编辑控制台窗口； 其次在该控制台窗口的左侧显示区域中，将鼠标定位于“计算机配置”分支选项上，再从该分支下面依次展开“管理模板”/“网络”/“网络连接” /“Windows防火墙”/“标准配置文件”子项，找到“标准配置文件”子项下面的“Windows防火墙：允许入站远程管理例外”目标组策略项目，用 鼠标双击该项目，打开如图4所示的属性设置界面；

   下面将该设置界面中的“已启用”项目选中，并且在其后自动激活的“允许来自这些IP地址的未经请求的传入消息”文本框中输入安全的特定计算机IP地址， 再单击“确定”按钮完成设置操作，这样的话任何用户日后只能从这里指定的普通计算机上使用远程桌面功能来远程控制Windows Server 2008服务器系统了。  www   禁止所有计算机使用远程桌面在排查网络故障的时候，我们有时 需要临时禁止局域网中的所有计算机与Windows Server 2008服务器系统建立远程桌面连接，实现这种控制目的的方法有很多，不过最为简单的方法，就是利用服务器系统内置防火墙功能来快速禁止Windows Server 2008系统的远程桌面访问网络，下面就是具体的限制步骤：

 首先打开Windows Server 2008服务器系统桌面的“开始”菜单，从中依次单击“设置”/“控制面板”选项，在弹出的系统控制面板窗口中，双击Windows防火墙选项，在其后弹 出的窗口中单击左侧区域中的“启用或关闭Windows防火墙”链接，进入Windows Server 2008系统的防火墙基本配置窗口； 接着单击基本配置窗口中的“例外”选项卡，打开如图5所示的选项设置页面，将该页面中的“远程桌面”选项取消选中，再单击“确定”按钮关闭设置页面，如 此一来局域网中的任意一台计算机再次尝试与Windows Server 2008服务器系统建立远程桌面连接时，都会被对应系统中的内置防火墙程序强行禁止掉了。

  对远程桌面连接适当限制 大家知道，如果在某一段时间内同时有若干个远程桌面连接访问Windows Server 2008服务器系统时，对应服务器系统的运行效率就会受到明显影响，甚至能发生无法响应的故障现象。为了确保Windows Server 2008服务器能够稳定运行，我们可以按照下面的操作，来对远程桌面连接数量进行适当限制：

 首先以超级用户身份登录进Windows Server 2008服务器系统，依次单击“开始”/“程序”/“管理工具”/“终端服务”/“终端服务配置”命令，打开对应系统的终端服务配置控制台窗口；其次点选该控制台窗口左侧显示区域中的“授权诊断”分支选项，在对应该分支选项的右侧显示区域中，选中“RDP-Tcp”选项，并用鼠标右键单击该选项，从弹出的快捷菜单中执行“属性”命令，打开“RDP-Tcp”选项的属性设置对话框；  www   接着单击该属性设置对话框中的“网络适配器”标签，进入如图6所示的标签设置页面，在该设置页面的最大连接数设置项处，我们可以根据服务器系统自身的硬件配置性能进行合适设置，通常将该数值限制在“10”以下，最后单击“确定”按钮就可以了。

   当然，我们也可以通过修改系统注册表的方法，来对远程桌面连接数量进行适当限制；在进行这种限制操作时，我们可以依次单击“开始”/“运行”命令，在系 统运行框中执行“regedit”命令，打开服务器系统的注册表编辑界面；将鼠标定位于该注册表编辑界面左侧显示区域中的 “HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows NT/Terminal Services”分支选项上，在对应“Terminal Services”选项的右侧显示窗格中创建好双字节值“MaxInstanceCount”，再将该键值的数值设置成十进制的“10”，最后刷新一下系 统注册表就可以使设置生效了。     作者 张毅

sever2008服务器管理器在WindowsSBS2008中。在WindowsSBSConsole中的"共享文件夹和网站"选项卡的"共享文件夹"页上执行下列共享文件夹任务的信息：管理用户的重定向文件夹、管理用户的共享文件和文件夹。

步骤如下：

1、打开开始菜单，在运行窗口输入：cmdexe，打开DOS界面，在该界面输入：wfmsc，打开防火墙设置

2、在新对话框中的左侧选择“入站规则”或“出站规则”（根据是需要外网访问服务器还是服务器访问外网来选择），在右侧选择“新规则”

3、选择“端口”，并点击“下一步”

4、输入端口号并点击“下一步”

5、连续选择“下一步”直到“完成”

扩展资料：

Windows系统默认情况下很多端口都是开放的。通过关闭某些端口，可以在一定程度上提高Windows系统的安全性，特别是对于服务器来说。

通过命令“netstat -an”可以知道系统当前监听的端口。

在Windows server 2008系统上，有两种途经可以禁用本地端口：

1、通过Windows防火墙（比较简单，设置方便）

2、通过IP安全策略（比较复杂，功能强大，不依赖防火墙）

以下所举例的是由"用安装光盘引导启动安装"的方式，版本则选用目前最新的Beta3进行说明(其他方式的安装方法也是大同小异)

将光盘驱动器调整成启动第一顺位 本次测试版本为DVD光盘，约19G，使用USB DVD光驱安装。 Windows 正在读取文件↓

正在启动安装程序正在启动安装程序，加载bootwim，启动PE环境，稍候片刻

安装程序启动安装程序启动，选择您要安装的语言类型，同时选择适合自己的时间和货币显示种类及键盘和输入方式，点击“下一步”。

点击“现在安装”，开始安装

输入“产品密钥”如果是正版输入“产品密钥”；当然您也可以不在这里输入“产品密钥”，而直接点击下一步，这时会出现一个警告，点击“否”即可。

在出现的列表中选择你所拥有的密钥代表的版本，同时把下面的复选框的勾打上。 此处显示为windows longhorn，与windows server 2008内核相同，共分两大类（完全安装版和服务器核心版），六个版本（标准版、企业版和数据中心版）。 如果选择完全安装版，则同2003安装后一样，具备图形化界面。 如果选择服务器核心版，安装后则只具有cmd命令行模式，没有图形化界面，类似linux不安装GUI界面。

接下来许可协议，当然选接受，然后点“下一步”。

选择安装类型选择安装类型，升级or自定义（推荐），当然如果您选择的是“用安装光盘引导启动安装”，你们升级是不可用的。

设置安装分区 下面开始就可以设置安装分区了。安装Windows Server 2008的话你需要一个干净的大容量分区，否则安装之后分区容量就会变得很紧张。需要特别注意的是，Windows Server 2008只能被安装在NTFS格式分区下，并且分区剩余空间必须大于8G。如果使用SCSI、RAID、或者SAS硬盘，安装程序无法识别您的硬盘，那么您需要在这里提供驱动程序。未加载驱动时如下图所示是看不到磁盘的：

需点击“加载驱动程序”图标，点击“浏览”选择驱动加载方式(加载驱动程序改变了必须用软驱加载的命运，可以用u盘或移动硬盘等设备直接添加驱动。)

然后按照屏幕上的出现的驱动程序列表选择（如有多行默认选第一行即可），点“下一步”即可继续。

若驱动不对会出现如下图示:

当然，安装好驱动程序后，您可能还需要点击“刷新”按钮让安装程序重新搜索硬盘。如果硬盘是全新的，还没有使用过，硬盘上没有任何分区以及数据，那么接下来还需要在硬盘上创建分区。

这时候可以点击“驱动器选项（高级）”按钮新建分区。

同时，也可以在“驱动器选项（高级）”可以方便的进行磁盘操作，如删除、新建分区，格式化分区，扩展分区等等

分区完成后点击“下一步”

正在进行安装

安装过程完成后进入安装的第一次重启阶段

准备第一次启动

进入“完成安装”阶段

安装完成后第二次重启，我们终于看到登入画面了! 登入系统桌面!

Windows Server 2008 R2HPC版是Windows Server 2008 R2服务器操作系统中的一种版本，该版本为管理高性能计算能力提供全面且省钱的解决方案。

Windows HPC Server 2008是现有Windows Computer Cluster Server 2003（WCCS2003）的继任者，基于Windows Server 2008 64-bit系统核心。

它能提供新的高速网络、高效灵活的集群管理工具、面向服务的体系结构(SOA)工程进度安排、支持合作伙伴的集群文件系统，可用于计算流体力学、水利枢纽模拟等大规模并行项目，或BLAST、蒙特卡罗模拟等复杂的并行项目。

与其他版本的区别：

1、Windows Server 2008 R2是一款服务器操作系统。同2008年1月发布的Windows Server 2008相比，Windows Server 2008 R2继续提升了虚拟化、系统管理弹性、网络存取方式，以及信息安全等领域的应用，其中有不少功能需搭配Windows 7。Windows Server 2008 R2是第一个只提供64位中文版本的服务器操作系统。

2、Windows server 2008是基于 Windows vista 的服务器系统,有32位和64位两个版本

3、Windows server 2008 R2是基于Windows 7的服务器操作系统只有64位版  和2003不同Windows server 2008 R2并不是2008的升级版,两个版本都是单独销售的,

4、Windows Server 2008 R2采用的是Win7的内核 2008采用的是Vista的内核 Windows Server 2008采用的事NT60的内核 2008 R2采用的事NT 61的内核

5、Windows Server 2008 R2适合做服务器用，2008系统只有32位和64位，2008R2只有64位操作系统

6、Windows Server 2008 R2与2008系统支持的最大逻辑处理器不一样 2008最多64个 2008R2 最多是256

7、Windows Server 2008 R2支持实时迁移技术，可以很快的从虚拟主机迁移到真正的的服务器上8、Windows Server 2008 R2现在还支持DHCP实时的故障转移Windows Server 2008 R2是基于Windows Server 2008硬件基础而设计的，将有更好的稳定性。

：

Windows Server 2008 R2 有7个版本

1、Windows Server 2008 R2 Foundatin：

这个版本是一种成本低廉的项目级技术基础，用于支撑小型业务。

2、Windows Server 2008 R2 标准版：

是下一版本发布前最健壮的Windows服务器操作系统。

3、Windows Server 2008 R2 企业版：

它是高级服务器平台，为重要应用提供了一种成本较低的高可靠性支持。

4、Windows Server 2008 R2 数据中心版：

它是一个企业级平台。

5、Windows Server 2008 R2 Web版：

它是强大的Web应用程序和服务平台。

6、Windows HPC Server 2008 (R2)：

高性能计算(HPC)的下一版本，为高效率的HPC环境提供了企业级的工具。

7、Windows Server 2008 R2 for Itanium-Based Systems

一个企业级的平台，可以用于部署关键业务应用程序。

1第一步在我们的电脑里面打开控制面板，点击程序下方的卸载程序，如下图所示：

2第二步进去程序和功能界面之后，点击打开或关闭windows功能，如下图所示：

3第三步进去打开或关闭windows功能之后，可以看到Internet信息服务默认是没有勾选的，如下图所示：

4第四步我们Internet信息服务里面所属的ftp服务器，web管理工具，万维网服务全部勾选上，点击确定就开启了iis功能，如下图所示：

5第五步点击确定之后，开启windows功能需要等待一下，等待更改功能完成之后，就成功开启了iis功能，如下图所示：

6第六步我们在桌面点击windows图标，在所有程序里面去搜索iis，点击打开Internet信息服务（IIS）管理器，如下图所示：