bis 2003R2 brauchte man für den Betrieb, sowie das Starten des Cluster Services einen Cluster Service Account (CSA). Dies war nach Best Practice ein Domänen Benutzer, der lokal auf den Cluster Computern spezielle Rechte bekommen hat. Dazu noch lokaler Administrator. Zugriff auf die Shared Disks sowie Rechte im DNS System.
Die Bedenken liegen auf der Hand: gleichbleibendes Passwort und der Betrieb aller im Cluster gestarteten Applikationen und Scripte im Kontext eines Accounts mit lokalem Vollzugriff!
Mit Server 2008 gibt es einen Wechsel im Design. Um den CSA abzulösen, erstellt der Cluster nun beim Installieren ein Cluster Name Object (CNO). Das CNO ist ein Network Name, physikalisch ein Computer Object im Active Directory. Das Objekt benutzt die Identität des Failover Clusters, bzw. weist sich der Cluster mit diesem Objekt aus. Dem CNO untergeordnet sind die Application Groups, die sogenannten Virtual Computer Objects (VCO). Diese sind ebenfalls Network Names, die als Computer Objects im AD erstellt werden.
CNO SOFS-Cluster, sowie die VCO’s FS und SOFS
die enstsprechenden Computer Objekte im Active Directory, die von den Clients für den Verbindungsaufbau zur Cluster Group bzw. Applikation Group benutzt werden.