Uso de una cuenta de usuario de dominio como cuenta de inicio de sesión de servicio
Nota:
La siguiente documentación es para desarrolladores. Si es un usuario final que busca información sobre un mensaje de error relacionado con cuentas de usuario de dominio, consulte los foros de la comunidad de Microsoft. Para obtener información sobre cómo administrar cuentas de usuario de dominio, consulte TechNet.
Una cuenta de usuario de dominio permite al servicio sacar el máximo partido de las características de seguridad del servicio de Windows y Microsoft Active Directory Domain Services. El servicio tiene cualquier acceso local y de red que se conceda a la cuenta, o a cualquier grupo de los que la cuenta sea miembro. El servicio puede admitir la autenticación mutua kerberos.
La ventaja de usar una cuenta de usuario de dominio es que las acciones del servicio están limitadas por los derechos de acceso y los privilegios asociados a la cuenta. A diferencia de un LocalSystem
servicio, los errores de un servicio de cuenta de usuario no pueden dañar el sistema. Si el servicio está en peligro por un ataque de seguridad, el daño se aísla a las operaciones que el sistema permite a la cuenta de usuario realizar. Al mismo tiempo, los clientes que se ejecutan en distintos niveles de privilegios pueden conectarse al servicio, lo que permite al servicio suplantar a un cliente para realizar operaciones confidenciales.
La cuenta de usuario de un servicio no debe ser miembro de ningún grupo de administradores que sea local, dominio o empresa. Si el servicio necesita privilegios administrativos locales, ejecútelo en la LocalSystem
cuenta. Para las operaciones que requieren privilegios administrativos de dominio, realicelas suplantando el contexto de seguridad de una aplicación cliente.
Una instancia de servicio que usa una cuenta de usuario de dominio requiere una acción administrativa periódica para mantener la contraseña de la cuenta. El administrador de control de servicio (SCM) del equipo host de una instancia de servicio almacena en caché la contraseña de la cuenta para usarla en el registro en el servicio. Al cambiar la contraseña de la cuenta, también debe actualizar la contraseña almacenada en caché en el equipo host donde está instalado el servicio. Para obtener más información y un ejemplo de código, consulte Cambio de la contraseña en la cuenta de usuario de un servicio. Puede evitar el mantenimiento normal dejando la contraseña sin cambios, pero eso aumentaría la probabilidad de que se produzca un ataque de contraseña en la cuenta de servicio. Tenga en cuenta que aunque el SCM almacena la contraseña en una parte segura del registro, sin embargo está sujeta a ataques.
Una cuenta de usuario de dominio tiene dos formatos de nombre: el nombre distintivo del objeto de usuario en el directorio y el formato "<dominio>\<nombredeusuario>" usado por el administrador de control de servicios local. Para obtener más información y un ejemplo de código que convierte de un formato a otro, consulte Conversión de formatos de nombre de cuenta de dominio.