Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Účet služby je uživatelský účet, který je vytvořený explicitně, aby poskytoval kontext zabezpečení pro služby spuštěné v operačních systémech Windows Server. Kontext zabezpečení určuje schopnost služby přistupovat k místním a síťovým prostředkům. Operační systémy Windows spoléhají na služby pro spouštění různých funkcí. Tyto služby je možné konfigurovat prostřednictvím aplikací, modulu snap-in Služby nebo Správce úloh nebo pomocí prostředí Windows PowerShell.
Tento článek obsahuje informace o následujících typech účtů služeb:
- Samostatné spravované účty služeb (sMSA)
- Skupinové účty spravované službami (gMSA)
- Delegovaný účet spravované služby (dMSA)
- virtuální účty
Samostatné účty služby spravované
Účty spravované služby jsou navržené tak, aby izolovaly účty domény v důležitých aplikacích, jako je internetová informační služba (IIS). Eliminují potřebu správce ručně spravovat hlavní název služby (SPN) a přihlašovací údaje pro účty.
Jeden účet spravované služby lze použít pro služby v jednom počítači. Účty spravované služby nejde sdílet mezi více počítači. Nelze je také použít v serverových clusterech, kde se služba replikuje na více uzlech clusteru. V tomto scénáři musíte použít skupinový účet spravované služby. Další informace najdete v tématu Přehled účtů spravované služby skupiny.
Kromě rozšířeného zabezpečení, které poskytuje individuální účty pro důležité služby, jsou k účtům spravované služby přidružené čtyři důležité výhody správy:
Můžete vytvořit třídu účtů domény, které lze použít ke správě a údržbě služeb v místních počítačích.
Na rozdíl od doménových účtů, ve kterých musí správci ručně resetovat hesla, se síťová hesla pro tyto účty automaticky resetují.
Nemusíte provádět složité úlohy správy hlavního názvu služby (SPN), abyste mohli používat Spravované Účty Služby.
Úlohy správy pro účty spravované služby můžete delegovat na účty bez oprávnění správce.
Note
Účty spravované služby se vztahují pouze na operační systémy Windows uvedené v části Platí pro začátek tohoto článku.
Skupinově spravované servisní účty
Skupinové účty spravované služby jsou rozšířením samostatných účtů spravované služby. Tyto účty jsou spravované doménové účty, které poskytují automatickou správu hesel a zjednodušenou správu hlavního názvu služby (SPN), včetně delegování správy jiným správcům.
Skupinový účet spravované služby poskytuje stejné funkce jako samostatný účet spravované služby v rámci domény, ale rozšiřuje tuto funkci na více serverů. Když se připojujete ke službě hostované na serverové farmě, jako je vyrovnávání zatížení sítě, ověřovací protokoly, které podporují vzájemné ověřování, vyžadují, aby všechny instance služeb používaly stejný objekt zabezpečení. Pokud se skupinové spravované účty služeb používají jako součásti služeb, operační systém Windows Server spravuje heslo pro účet, místo aby se spoléhal na správce pro správu hesla.
Služba distribuce klíčů Společnosti Microsoft (kdssvc.dll) poskytuje mechanismus bezpečného získání nejnovějšího klíče nebo konkrétního klíče s identifikátorem klíče pro účet služby Active Directory. Tato služba byla zavedena ve Windows Serveru 2012 a neběží v dřívějších verzích operačního systému Windows Server. Kdssvc.dll sdílí tajný kód, který slouží k vytvoření klíčů pro účet. Tyto klíče se pravidelně mění. Pro účet spravované služby skupiny řadič domény (DC) vypočítá heslo pro klíč, který poskytuje kdssvc.dll, kromě dalších atributů účtu spravované služby skupiny.
Delegované spravované účty služby
Ve Windows Serveru 2025 je zaveden nový typ účtu s názvem delegovaný účet spravované služby (dMSA). Tento typ účtu umožňuje přejít z tradičních účtů služeb na účty počítačů, které mají spravované a plně randomizované klíče, a zároveň zakázat původní hesla účtu služby. Ověřování dMSA je propojené s identitou zařízení, což znamená, že k účtu mají přístup jenom zadané identity počítačů mapované v AD. Pomocí nástroje dMSA můžete zabránit běžnému problému získávání přihlašovacích údajů prostřednictvím ohroženého účtu, který je přidružený k tradičním účtům služeb.
DMSA můžete vytvořit jako samostatný účet nebo nahradit stávající standardní účet služby. Pokud existující účet nahradí dMSA, ověřování pomocí hesla starého účtu se zablokuje. Místo toho se požadavek přesměruje na místní autoritu zabezpečení (LSA) pro ověřování prostřednictvím nástroje dMSA, který má přístup ke stejným prostředkům jako předchozí účet ve službě AD. Další informace najdete v přehledu delegovaných spravovaných účtů služeb .
Virtuální účty
Virtuální účty jsou spravované místní účty, které zjednodušují správu služeb tím, že poskytují následující výhody:
- Virtuální účet se automaticky spravuje.
- Virtuální účet má přístup k síti v doménovém prostředí.
- Nevyžaduje se žádná správa hesel. Pokud je například použita výchozí hodnota pro účty služby během instalace SYSTÉMU SQL Server na Windows Serveru, virtuální účet, který používá název instance jako název služby je vytvořen ve formátu
NT SERVICE\<SERVICENAME>.
Služby, které běží jako virtuální účty, přistupují k síťovým prostředkům pomocí přihlašovacích údajů účtu počítače ve formátu <domain_name>\<computer_name>$.
Informace o konfiguraci a používání účtů virtuálních služeb najdete v tématu koncepty účtu spravované služby a virtuálních účtů.
Note
Virtuální účty se vztahují pouze na operační systémy Windows uvedené v seznamu Platí pro na začátku tohoto článku.
Volba účtu služby
Účty služeb slouží k řízení přístupu služby k místním a síťovým prostředkům a pomáhají zajistit, aby služba fungovala bezpečně a bezpečně bez zveřejnění citlivých informací nebo prostředků neoprávněným uživatelům. Následující tabulka popisuje rozdíly mezi typy účtů služby:
| Criterion | sMSA | gMSA | dMSA | Virtuální účty |
|---|---|---|---|---|
| Aplikace běží na jednom serveru. | Yes | Yes | Yes | Yes |
| Aplikace běží na více serverech | No | Yes | No | No |
| Aplikace běží za load balancerem. | No | Yes | No | No |
| Aplikace běží na Windows Serveru | Yes | No | No | Yes |
| Požadavek na omezení účtu služby na jeden server | Yes | No | Yes | No |
| Podporuje účet počítače propojený s identitou zařízení. | No | No | Yes | No |
| Použití ve scénářích s vysokým zabezpečením (zabránit sběru přihlašovacích údajů) | No | No | Yes | No |
Při výběru účtu služby je důležité vzít v úvahu faktory, jako je úroveň přístupu vyžadovaná službou a zásady zabezpečení na serveru. Měli byste také vyhodnotit konkrétní potřeby aplikace nebo služby, které se spouští.
sMSA: Navržené pro použití na jednom počítači poskytují sMSA zabezpečenou a zjednodušenou metodu správy hlavních názvů služeb a přihlašovacích údajů. Automaticky spravují hesla a jsou ideální pro izolování účtů domény v důležitých aplikacích. Nemůžete je ale použít na více serverech ani v serverových clusterech.
gMSA: Rozšíření funkčnosti sMSA díky podpoře více serverů, což je činí vhodnými pro serverové farmy a aplikace s vyrovnáváním zatížení. Nabízejí automatickou správu hesel a hlavních názvů služeb (SPN), čímž zmírňují administrativní zátěž. GMSA poskytují jedno řešení identit, které umožňuje bezproblémové ověřování služeb napříč několika instancemi.
dMSA: Propojí ověřování s konkrétními identitami počítače, brání neoprávněnému přístupu prostřednictvím získávání přihlašovacích údajů, což umožňuje přechod z tradičních účtů služeb s plně randomizovanými a spravovanými klíči. Účty dMSA můžou nahradit stávající tradiční účty služeb a zajistit tak, aby k citlivým prostředkům měli přístup jenom autorizovaná zařízení.
virtuálních účtů: Spravovaný místní účet, který poskytuje zjednodušený přístup ke správě služeb bez nutnosti ruční správy hesel. Mají přístup k síťovým prostředkům pomocí přihlašovacích údajů účtu počítače, takže jsou vhodné pro služby, které vyžadují přístup k doméně. Virtuální účty se spravují automaticky a vyžadují minimální konfiguraci.
Související obsah
| Typ obsahu | References |
|---|---|
| Vyhodnocení produktu |
Co je nového pro účty spravovaných služeb Začínáme se spravovanými skupinovými účty služby |
| Deployment | Windows Server 2012: Skupinové účty spravovaných služeb – Technická komunita |
| Související technologie |
bezpečnostní principály Novinky ve Windows Serveru 2016 |