Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein Dienstkonto ist ein Benutzerkonto, das explizit erstellt wird, um einen Sicherheitskontext für Dienste bereitzustellen, die unter Windows Server-Betriebssystemen ausgeführt werden. Der Sicherheitskontext bestimmt, ob der Dienst auf lokale Ressourcen und auf Netzwerkressourcen zugreifen kann. Windows-Betriebssysteme verwenden Dienste, um verschiedene Features auszuführen. Diese Dienste können über die Anwendungen, über das Dienste-Snap-In, über den Task-Manager oder mithilfe von Windows PowerShell konfiguriert werden.
Dieser Artikel enthält Informationen zu den folgenden Arten von Dienstkonten:
- Eigenständige verwaltete Dienstkonten (sMSA)
- Gruppenverwaltete Dienstkonten (gMSA)
- Delegierte verwaltete Dienstkonten (dMSA)
- Virtuelle Konten
Eigenständige verwaltete Dienstkonten
Verwaltete Dienstkonten sind so konzipiert, dass Domänenkonten in wichtigen Anwendungen wie Internetinformationsdienste (Internet Information Services, IIS) isoliert werden. Dadurch müssen der Dienstprinzipalname (Service Principal Name, SPN) und die Anmeldeinformationen für die Konten nicht manuell von einem Administrator verwaltet werden.
Ein verwaltetes Dienstkonto kann für Dienste auf einem einzelnen Computer verwendet werden. Verwaltete Dienstkonten können nicht von mehreren Computern gemeinsam genutzt werden. Sie können auch nicht in Serverclustern verwendet werden, bei denen ein Dienst auf mehreren Clusterknoten repliziert wird. Für dieses Szenario müssen Sie ein gruppenverwaltetes Dienstkonto verwenden. Weitere Informationen finden Sie unter Gruppenverwaltete Dienstkonten: Übersicht.
Neben der verbesserten Sicherheit, die durch individuelle Konten für kritische Dienste bereitgestellt wird, gibt es vier wichtige administrative Vorteile, die mit verwalteten Dienstkonten verbunden sind:
Sie ermöglichen die Erstellung einer Klasse von Domänenkonten, die zum Verwalten von Diensten auf lokalen Computern verwendet werden kann.
Anders als bei Domänenkonten, deren Kennwörter manuell von Administratoren zurückgesetzt werden müssen, werden die Netzwerkkennwörter für diese Konten automatisch zurückgesetzt.
Sie müssen keine komplexen SPN-Verwaltungsaufgaben ausführen, um verwaltete Dienstkonten zu verwenden.
Sie können administrative Aufgaben für verwaltete Dienstkonten an nicht verwaltete Konten delegieren.
Hinweis
Verwaltete Dienstkonten gelten nur für die Windows-Betriebssysteme, die am Anfang dieses Artikels im Abschnitt "Gilt für " aufgeführt sind.
Gruppenverwaltete Dienstkonten
Gruppenverwaltete Dienstkonten sind eine Erweiterung von eigenständigen verwalteten Dienstkonten. Bei diesen Konten handelt es sich um verwaltete Domänenkonten, die eine automatische Kennwortverwaltung und vereinfachte SPN-Verwaltung bieten – einschließlich Delegierung der Verwaltung an andere Administratoren.
Ein gruppenverwaltetes Dienstkonto bietet dieselbe Funktionalität wie ein eigenständiges verwaltetes Dienstkonto innerhalb der Domäne, erweitert diese Funktionalität jedoch über mehrere Server. Beim Herstellen einer Verbindung mit einem Dienst, der in einer Serverfarm gehostet wird (beispielsweise ein Netzwerklastenausgleich), erfordern die Authentifizierungsprotokolle, die gegenseitige Authentifizierung unterstützen, dass alle Instanzen der Dienste den gleichen Prinzipal verwenden. Wenn gruppenverwaltete Dienstkonten als Dienstprinzipale verwendet werden, verwaltet das Windows Server-Betriebssystem das Kennwort für das Konto, anstatt sich auf den Administrator zu verlassen, um das Kennwort zu verwalten.
Der Microsoft Key Distribution Service (kdssvc.dll) bietet den Mechanismus zum sicheren Abrufen des neuesten Schlüssels oder eines bestimmten Schlüssels mit einem Schlüsselbezeichner für ein Active Directory-Konto. Dieser Dienst wurde in Windows Server 2012 eingeführt und kann unter früheren Versionen des Windows Server-Betriebssystems nicht ausgeführt werden. Kdssvc.dll teilt einen geheimen Schlüssel, der zum Erstellen von Schlüsseln für das Konto verwendet wird. Diese Schlüssel werden regelmäßig geändert. Für ein gruppenverwaltetes Dienstkonto berechnet der Domänencontroller (DC) das Kennwort für den Schlüssel, der von kdssvc.dllbereitgestellt wird, zusätzlich zu anderen Attributen des gruppenverwalteten Dienstkontos.
Delegierte verwaltete Dienstkonten
In Windows Server 2025 wird ein neuer Kontotyp namens delegiertes verwaltetes Dienstkonto (dMSA) eingeführt. Dieser Kontotyp ermöglicht es Ihnen, von herkömmlichen Dienstkonten zu Computerkonten zu wechseln, die verwaltete und vollständig zufällige Schlüssel besitzen, und gleichzeitig die ursprünglichen Dienstkonto-Kennwörter deaktivieren. Die Authentifizierung für dMSA ist mit der Geräteidentität verknüpft, was bedeutet, dass nur bestimmte in AD zugeordnete Computeridentitäten auf das Konto zugreifen können. Mithilfe von dMSA können Sie das häufige Problem beim Sammeln von Anmeldeinformationen über ein kompromittiertes Konto verhindern, das herkömmlichen Dienstkonten zugeordnet ist.
Sie können ein dMSA als eigenständiges Konto erstellen oder ein vorhandenes Standarddienstkonto durch dieses ersetzen. Wenn ein vorhandenes Konto durch einen dMSA ersetzt wird, wird die Authentifizierung über das Kennwort des alten Kontos blockiert. Stattdessen wird die Anforderung zur Authentifizierung über dMSA an die lokale Sicherheitsbehörde (Local Security Authority, LSA) umgeleitet, die Zugriff auf dieselben Ressourcen wie das vorherige Konto in AD hat. Weitere Informationen finden Sie unter Übersicht über delegierte verwaltete Dienstkonten.
Virtuelle Konten
Virtuelle Konten sind verwaltete lokale Konten, die die Dienstverwaltung vereinfachen, indem sie die folgenden Vorteile bieten:
- Das virtuelle Konto wird automatisch verwaltet.
- Das virtuelle Konto kann auf das Netzwerk in einer Domänenumgebung zugreifen.
- Keine Kennwortverwaltung erforderlich Wenn beispielsweise der Standardwert für die Dienstkonten während der SQL Server-Einrichtung unter Windows Server verwendet wird, wird ein virtuelles Konto, das den Instanznamen als Dienstnamen verwendet, im Format
NT SERVICE\<SERVICENAME>eingerichtet.
Dienste, die als virtuelle Konten ausgeführt werden, greifen mithilfe der Anmeldeinformationen des Computerkontos im Format <domain_name>\<computer_name>$auf Netzwerkressourcen zu.
Informationen zum Konfigurieren und Verwenden virtueller Dienstkonten finden Sie unter Verwaltetes Dienstkonto und virtuelle Kontokonzepte.
Hinweis
Virtuelle Konten gelten nur für die Windows-Betriebssysteme, die am Anfang dieses Artikels in der Liste "Gilt für" aufgeführt sind.
Auswählen Ihres Dienstkontos
Dienstkonten werden verwendet, um den Zugriff des Dienstes auf lokale und Netzwerkressourcen zu steuern. Sie tragen dazu bei, dass der Dienst sicher und geschützt arbeiten kann, ohne dass sensible Informationen oder Ressourcen für unbefugte Benutzer*innen zugänglich sind. In der folgenden Tabelle werden die Unterschiede zwischen den Dienstkontotypen beschrieben:
| Kriterium | sMSA | gMSA | dMSA | Virtuelle Konten |
|---|---|---|---|---|
| Ausführen der Anwendung auf einem einzelnen Server | Ja | Ja | Ja | Ja |
| Ausführen der Anwendung auf mehreren Servern | Nein | Ja | Nein | Nein |
| Ausführen der Anwendung hinter einem Lastenausgleich | Nein | Ja | Nein | Nein |
| Die App wird unter Windows Server ausgeführt | Ja | Nein | Nein | Ja |
| Anforderung der Beschränkung des Dienstkontos auf einen einzelnen Server | Ja | Nein | Ja | Nein |
| Unterstützt ein mit der Identität des Geräts verknüpftes Computerkonto | Nein | Nein | Ja | Nein |
| Verwendung für hochsichere Szenarien (verhindert das Abgreifen von Anmeldeinformationen) | Nein | Nein | Ja | Nein |
Bei der Auswahl eines Dienstkontos ist es wichtig, Faktoren zu berücksichtigen, z. B. die vom Dienst erforderliche Zugriffsebene und die auf dem Server eingerichteten Sicherheitsrichtlinien. Sie sollten auch die spezifischen Anforderungen der auszuführenden Anwendung oder des Diensts auswerten.
sMSA: Für die Verwendung auf einem einzelnen Computer entwickelt, bieten sMSAs eine sichere und vereinfachte Methode zum Verwalten von SPNs und Anmeldeinformationen. Sie verwalten Kennwörter automatisch und sind ideal für die Isolierung von Domänenkonten in kritischen Anwendungen. Sie können jedoch nicht auf mehreren Servern oder in Server-Clustern verwendet werden.
gMSA: Erweitern Sie die Funktionalität von sMSAs, indem Sie mehrere Server unterstützen, wodurch sie für Serverfarmen und Anwendungen mit Lastenausgleich geeignet werden. Sie bieten eine automatische Verwaltung von Kennwörtern und SPNs, was den Verwaltungsaufwand verringert. gMSAs stellen eine einzelne Identitätslösung bereit, die Diensten die Möglichkeit bietet, sich nahtlos über mehrere Instanzen hinweg zu authentifizieren.
dMSA: Verknüpft die Authentifizierung mit spezifischen Computeridentitäten, um unbefugten Zugriff durch das Abgreifen von Anmeldeinformationen zu verhindern, und ermöglicht den Übergang von traditionellen Dienstkonten mit vollständig zufälligen und verwalteten Schlüsseln. dMSAs können bestehende traditionelle Dienstkonten ersetzen und gewährleisten, dass nur autorisierte Geräte auf sensible Ressourcen zugreifen können.
Virtuelle Konten: Ein verwaltetes lokales Konto, das einen vereinfachten Ansatz zur Dienstverwaltung bietet, ohne dass eine manuelle Kennwortverwaltung erforderlich ist. Sie können auf Netzwerkressourcen zugreifen, indem sie die Anmeldeinformationen des Computerkontos verwenden, sodass sie für Dienste geeignet sind, die Domänenzugriff erfordern. Virtuelle Konten werden automatisch verwaltet und müssen nur minimal konfiguriert werden.
Verwandte Inhalte
| Inhaltstyp | Verweise |
|---|---|
| Produktbewertung |
Neuerungen für verwaltete Dienstkonten Loslegen mit gruppierten verwalteten Dienstkonten |
| Bereitstellung | Windows Server 2012 Gruppenverwaltete Dienstkonten - Tech Community |
| Verwandte Technologien |
Sicherheitsprinzipale Neuerungen in Windows Server 2016 |