如何手动重新创建群集服务帐户

在 Microsoft 群集服务的安装过程中，会向指定的域帐户授予群集服务正常工作所需的权限。如果需要更改或重新创建该帐户，则必须手动在群集的每个节点上向用于启动群集服务的域帐户重新授予这些权限。另外，还要确保安全策略不会从群集服务帐户中删除权限。如果从群集服务帐户中删除了权限，则群集服务可能无法再正常运行。

用于启动群集服务的帐户必须至少是域级别的 USER 帐户，而且必须将该帐户添加到群集中每个节点上的本地管理组。通过使用 Microsoft Windows NT 4.0 中的“用户管理器”工具或者 Microsoft Windows 2000 Server 或 Microsoft Windows Server 2003 中的“计算机管理”，可将此帐户添加到群集中每个节点上的本地管理员组。

注意：本节提到的许多权限都是“通过代理”分配的。群集服务帐户必须是该节点上本地管理员组的成员。因此，如果本地管理员组具有某个特定权限，一般不必添加此群集服务帐户。不过，如果行使群集服务帐户的权限有困难，可以直接将所有权限显式授予启动群集服务的帐户。在 Windows Server 2003 中，必须将群集服务帐户显式分配给每个节点上的本地管理员组。 有关相关主题的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 请确保对本地管理员组或域级别的群集服务帐户授予了下面的用户权限。

Windows Server 2003

注意：如果更改用于启动群集服务的帐户，则必须使用 Windows Server 2003 的“计算机管理”在群集中的每个节点上更改帐户信息。为此，请按照下列步骤操作：

1. 启动 Windows Server 2003 的“计算机管理”，展开“服务和应用程序”分支，然后单击“服务”分支。
2. 在右窗格中，双击群集服务。选择登录选项卡，然后更新帐户信息。

要使群集服务帐户能够在 Microsoft Windows Server 2003 中正常运行，该帐户应显式要求在群集中的所有节点上具有下列权限：

• 作为操作系统的一部分
• 调整进程内存配额
• 备份文件和目录
• 增加调度优先级
• 作为服务登录
• 还原文件和目录

而且，还要确保本地管理员组能够访问下列用户权限：

• 调试程序
• 在身份验证之后模拟客户端
• 管理审核和安全日志

可以在以下位置授予这些权限：注意：???????¨×é?????è?????ü??在身份验证之后模拟客户端权限策略设置，请确保策略设置以及本地管理员组中列出了群集服务帐户。如果群集服务帐户未列出，则计算机可能不再具有访问 Windows Management Instrumentation (WMI) 的权限。默认情况下，这些帐户会在身份验证之后模拟客户端权限策略中列出。但是，如果创建组策略设置但不添加群集服务帐户，则本地策略设置将被覆盖，并且 WMI 访问会失败。

Windows 2000 Server

注意：如果更改用于启动群集服务的帐户，请按照下列步骤操作：

1. 在桌面上单击“开始”，然后单击“所有程序”。
2. 单击“管理工具”，然后单击“服务”。在右窗格中，双击群集服务。
3. 选择登录选项卡，并更新帐户信息。

群集服务帐户要求在群集中的所有节点上具有下列权限才能正常运行：

• 作为操作系统的一部分。
• 备份文件和目录。
• 增加配额。
• 增加调度优先级。
• 加载和卸载设备驱动程序。
• 锁定内存页。
• 作为服务登录。
• 还原文件和目录。

而且，还要确保本地管理员组能够访问下列用户权限：

• 调试程序
• 在身份验证之后模拟客户端
• 管理审核和安全日志

可以在以下位置授予这些权限：

Windows NT 4.0

要在 Windows NT 4.0 群集节点上配置用户权限，请依次单击“用户管理器”、“策略”和“用户权限”。确保单击了“显示高级用户权限”。

群集服务帐户要求在群集中的所有节点上具有下列权限才能正常运行：

• 备份文件和目录
• 增加配额
• 增加调度优先级
• 加载和卸载设备驱动程序
• 锁定内存页
• 作为服务登录
• 还原文件和目录

需要考虑的其他事项

从群集服务帐户删除所需权限后，可能会出现意外情况。群集服务可能无法启动，或者该服务无法创建特定的群集资源或将这些资源联机。例如，如果群集服务或者本地管理员组没有特定的用户权限，则管理审核和安全日志用户权限分配无法创建 Microsoft 分布式事务处理协调器 (MSDTC) 资源，原因是群集服务无法创建所需的加密检查点设置。

另一个可能出现此问题的示例发生在修改从网络访问此计算机用户权限时。可以在以下位置修改此用户权限：默认情况下，所有人组和管理员组都分配了此权限。然而，如果从这些组中删除此权限，而且没有特别添加群集服务帐户，则无法将节点加入现有群集。此外，在使用群集管理器 (Cluadmin.exe) 尝试访问群集时可能会收到“Access Denied”错误消息。

如果某个组织要实现重写本地安全策略的组策略对象，而且该对象通过更改有效的用户权限从群集服务中删除了某个用户权限，则该群集服务在某个点上将会失败。要解决此问题，请按照下列步骤操作：

1. 在域或林中创建一个组织单位 (OU)，然后在该 OU 上阻止策略继承。
2. 将群集节点移入 OU。
3. 要继承新用户权限，请在每个节点上停止并重新启动群集服务。

如果为群集中的任何一个虚拟服务器启用了 Kerberos 身份验证，而且更改了群集服务帐户，则可能会影响对 Active Directory 目录服务中计算机对象的访问。在为任何虚拟服务器启用 Kerberos 协议之前，请参见下面的 Microsoft 知识库文章：另外，请确保群集服务对于相应 OU 中的计算机对象具有下列用户权限：

• 重设密码
• 更改密码
• 已验证的到 DNS 主机名的写入
• 已验证的到 ServicePrincipalName 的写入