Cuentas de inicio de sesión de servicio

Un servicio, como cualquier proceso, tiene una identidad de seguridad principal que determina los derechos y privilegios de acceso concedidos para los recursos locales y de red. Esta identidad de seguridad, o contexto de seguridad, también determina el potencial que tiene el servicio para dañar los recursos locales y de red.

El contexto de seguridad de un servicio Microsoft Win32 viene determinado por la cuenta de inicio de sesión que se usa para iniciar el servicio. En esta sección se describen los problemas de programación y los procedimientos recomendados relacionados con la cuenta de inicio de sesión de servicio que usan los servicios Win32, con un enfoque en los servicios habilitados para directorios. Esta sección contiene los siguientes temas:

• Acerca de las cuentas de inicio de sesión de servicio: información general sobre las cuentas de inicio de sesión de servicio y los problemas de programación del contexto de seguridad para un servicio Win32.
• Directrices para seleccionar una cuenta de inicio de sesión de servicio para un servicio Win32.
• Configurar la cuenta de usuario de un servicio.
• Instalar un servicio en un equipo host y especificar la cuenta de inicio de sesión del servicio.
• Conceder el inicio de sesión como servicio derecho en el equipo host: concediéndole a la cuenta de usuario del servicio el inicio de sesión como servicio directamente en el equipo host.
• Probar si se ejecuta en un controlador de dominio: detecta en el momento de la instalación si la instancia de servicio se está instalando en un controlador de dominio.
• Conceder derechos de acceso a la cuenta de inicio de sesión de servicio: establecer y mantener las ACE y las pertenencias a grupos para asegurarse de que el sistema concederá al servicio en ejecución acceso a los recursos locales y de red necesarios.
• Cambiar la contraseña en la cuenta de usuario de un servicio: cambiar la contraseña en la cuenta de usuario de un servicio y, al mismo tiempo, actualizar la contraseña registrada con el administrador de control de servicios en cada servidor host en el que está instalado el servicio.
• Autenticación mutua mediante Kerberos: mantenimiento del registro del nombre de entidad de seguridad de servicio (SPN) en el objeto de directorio asociado a la cuenta de inicio de sesión de cada instancia del servicio. Los SPN permiten a los clientes autenticar un servicio mediante la autenticación mutua kerberos.
• Convertir formatos de nombre de cuenta de dominio: por ejemplo, convertir un nombre distintivo al formato NombredeUsuario de dominio**\** y viceversa.