Informationen zu Dienstanmeldungskonten

  • Artikel

Wenn ein Win32-basierter Dienst gestartet wird, meldet er sich beim lokalen Computer an. Die Anmeldung kann wie bei folgenden Aktionen ausgeführt werden:

  • Ein lokales Benutzerkonto oder ein Domänenbenutzerkonto.
  • Das LocalSystem-Konto.

Das Anmeldekonto bestimmt die Sicherheitsidentität des Diensts zur Laufzeit, d. h. den primären Sicherheitskontext des Diensts. Der Sicherheitskontext bestimmt, ob der Dienst auf lokale Ressourcen und auf Netzwerkressourcen zugreifen kann. Beispielsweise kann ein Dienst, der im Sicherheitskontext eines lokalen Benutzerkontos ausgeführt wird, nicht auf Netzwerkressourcen zugreifen. Umgekehrt hätte ein Dienst, der im Sicherheitskontext des LocalSystem-Kontos auf einem Windows 2000-Domänencontroller (DC) ausgeführt wird, uneingeschränkten Zugriff auf den Domänencontroller. Weitere Informationen und eine Erläuterung der Vorteile und Einschränkungen zwischen Benutzerkonten und LocalSystem finden Sie unter Sicherheitskontexte und Active Directory Domain Services.

Letztendlich haben Administratoren auf dem System, auf dem der Dienst installiert ist, die Kontrolle über das Anmeldekonto des Diensts. Aus Sicherheitsgründen erlauben einige Administratoren möglicherweise nicht, Dass Sie Ihren Dienst unter dem LocalSystem-Konto installieren. Ihr Dienst muss unter einem Domänenbenutzerkonto ausgeführt werden können. Als Programmierer können Sie eine gewisse Kontrolle über das Anmeldekonto Ihres Diensts ausüben. Ihr Dienstinstallationsprogramm gibt das Anmeldekonto des Diensts an, wenn er die CreateService-Funktion aufruft, um den Dienst auf einem Hostcomputer zu installieren. Ihr Installationsprogramm kann ein Standardanmeldungskonto vorschlagen, aber es sollte es einem Administrator ermöglichen, das tatsächliche Konto anzugeben.

Ihr Installationsprogramm kann auch die folgenden Aufgaben im Zusammenhang mit dem Anmeldekonto Ihres Diensts ausführen:

  • Die Installation. Wenn Sie Ihren Dienst für die Ausführung unter einem Benutzerkonto installieren, muss das Konto vorhanden sein, bevor Sie CreateService aufrufen. Sie können ein vorhandenes Konto verwenden oder als Teil des Hostcomputerinstallationsprogramms erstellen. Weitere Informationen finden Sie unter Einrichten des Benutzerkontos eines Diensts.
  • Authentifizierung Wenn Clients die gegenseitige Kerberos-Authentifizierung verwenden sollen, registrieren Sie die SPNs im Anmeldekonto des Diensts. Wenn der Dienst unter dem LocalSystem-Konto ausgeführt wird, ist das Anmeldekonto des Diensts das Computerkonto des Hostcomputers. Weitere Informationen finden Sie unter Dienstprinzipalnamen.
  • Gewähren des Zugriffs. Stellen Sie sicher, dass der Dienst zur Laufzeit über die Zugriffsrechte und Berechtigungen verfügt, die er zum Ausführen seiner Aufgaben benötigt. Dies kann das Festlegen von Zugriffssteuerungseinträgen (Access Control Entries, ACEs) in den Sicherheitsbeschreibungen verschiedener Ressourcen erfordern, d. h. Verzeichnisobjekte, Dateifreigaben usw., um die erforderlichen Zugriffsrechte für das Benutzer- oder Computerkonto zuzulassen. Weitere Informationen finden Sie unter Gewähren von Zugriffsrechten für das Dienstanmeldungskonto.
  • Legen Sie Berechtigungen fest. Weisen Sie dem angegebenen Anmeldekonto Berechtigungen zu, z. B. das Recht zur Anmeldung als Dienst beim Hostcomputer. Weitere Informationen finden Sie unter Gewähren von Anmelderechten als Dienst auf dem Hostcomputer.

Nachdem ein Dienst installiert wurde, gibt es Wartungstasks, die sich auf Ihr Dienstanmeldungskonto beziehen. Weitere Informationen finden Sie unter Wartungsaufgaben für Anmeldekonten.

  • Kennwortwartung. Für einen Dienst, der unter einem Benutzerkonto ausgeführt wird, müssen Sie das Kennwort in regelmäßigen Abständen ändern und das Kennwort mit dem Kennwort synchronisieren, das von einem oder mehreren lokalen Dienststeuerungs-Managern zum Starten des Diensts verwendet wird.
  • SPN-Wartung. Wenn sich ein Dienstanmeldungskonto ändert, entfernen Sie die für das alte Konto registrierten SPNs, und registrieren Sie sie im neuen Konto. Beachten Sie, dass bei der Installation eines Diensts ein Domänenadministrator das Konto ändern kann, unter dem Ihr Dienst ausgeführt wird. Win32-Funktionen oder die Benutzeroberfläche des Verwaltungstools für die Computerverwaltung verwenden.
  • ACE-Wartung. Wenn sich ein Dienstanmeldekonto ändert, müssen Sie ACEs und Gruppenmitgliedschaften aktualisieren, um sicherzustellen, dass der Dienst weiterhin auf die erforderlichen Ressourcen zugreifen kann.