Dienstanmeldungskonten

Ein Dienst verfügt wie jeder Prozess über eine primäre Sicherheitsidentität, die die gewährten Zugriffsrechte und Berechtigungen für lokale Und Netzwerkressourcen bestimmt. Diese Sicherheitsidentität oder der Sicherheitskontext bestimmt auch das Potenzial des Diensts für die Beschädigung lokaler und Netzwerkressourcen.

Der Sicherheitskontext für einen Microsoft Win32-Dienst wird durch das Anmeldekonto bestimmt, das zum Starten des Diensts verwendet wird. In diesem Abschnitt werden Programmierprobleme und bewährte Methoden im Zusammenhang mit dem von Win32-Diensten verwendeten Dienstanmeldungskonto behandelt, wobei der Schwerpunkt auf verzeichnisfähigen Diensten liegt. Dieser Abschnitt schließt folgende Themen ein:

• Informationen zu Dienstanmeldungskonten– Eine Übersicht über Dienstanmeldungskonten und Sicherheitskontextprogrammierungsprobleme für einen Win32-Dienst.
• Richtlinien für die Auswahl eines Dienstanmeldungskontos für einen Win32-Dienst.
• Einrichten des Benutzerkontos eines Diensts.
• Installieren eines Diensts auf einem Hostcomputer und Angeben des Dienstanmeldungskontos
• Gewähren der Anmeldung als Dienstrecht auf dem Hostcomputer: Gewähren der Anmeldung als Dienst auf dem Hostcomputer für das Benutzerkonto des Diensts
• Testen, ob auf einem Domänencontroller ausgeführt wird: Erkennt bei der Installation, ob der Dienst instance auf einem Domänencontroller installiert wird.
• Erteilen von Zugriffsrechten für das Dienstanmeldungskonto: Festlegen und Verwalten von ACEs und Gruppenmitgliedschaften, um sicherzustellen, dass das System dem ausgeführten Dienst Zugriff auf die erforderlichen lokalen Und Netzwerkressourcen gewährt.
• Ändern des Kennworts für das Benutzerkonto eines Diensts– Ändern des Kennworts für das Benutzerkonto eines Diensts und gleichzeitiges Aktualisieren des Kennworts, das beim Dienststeuerungs-Manager auf jedem Hostserver registriert ist, auf dem der Dienst installiert ist.
• Gegenseitige Authentifizierung mithilfe von Kerberos: Verwalten der Registrierung des Dienstprinzipalsnamens (Service Principal Name, SPN) für das Verzeichnisobjekt, das dem Anmeldekonto der einzelnen instance Ihres Diensts zugeordnet ist. SPNs ermöglichen Clients die Authentifizierung eines Diensts mithilfe der gegenseitigen Kerberos-Authentifizierung.
• Konvertieren von Domänenkontonamenformaten: Beispiel: Konvertieren eines distinguished Name in dasDomänenbenutzername-Format**\** und umgekehrt.