Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier les répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer de répertoire.
Un compte de service est un compte d’utilisateur créé explicitement pour fournir un contexte de sécurité aux services qui s’exécutent sur les systèmes d’exploitation Windows Server. Le contexte de sécurité détermine la capacité du service à accéder aux ressources locales et réseau. Les systèmes d’exploitation Windows s’appuient sur des services pour exécuter diverses fonctionnalités. Ces services peuvent être configurés par les applications, le composant logiciel enfichable Services ou le Gestionnaire des tâches, ou en utilisant Windows PowerShell.
Cet article contient des informations sur les types de comptes de service suivants :
- Comptes de service administrés autonomes (sMSA)
- Comptes de service administrés de groupe (gMSA)
- Comptes de service administrés délégués (dMSA)
- Comptes virtuels
Comptes de service administrés autonomes
Les comptes de service administrés sont conçus pour isoler les comptes de domaine dans des applications cruciales, comme Internet Information Services (IIS). Ils évitent à l’administrateur d’administrer manuellement le nom du principal de service (SPN) et les informations d’identification des comptes.
Un seul compte de service administré par ordinateur peut être utilisé pour les services. Les comptes de service administrés ne peuvent pas être partagés entre plusieurs ordinateurs. Ils ne peuvent pas non plus être utilisés dans les clusters serveurs où un service est répliqué sur plusieurs nœuds de cluster. Pour ce scénario, vous devez utiliser un compte de service administré de groupe. Pour plus d’informations, consultez Vue d’ensemble des comptes de service gérés de groupe.
En plus d’une sécurité renforcée par l’existence de comptes individuels pour les services stratégiques, les comptes de service administrés présentent quatre avantages importants en termes d’administration :
Vous pouvez créer une classe de comptes de domaine qui peut être utilisée pour gérer les services sur des ordinateurs locaux.
Contrairement aux comptes de domaine dont les mots de passe doivent être réinitialisés manuellement par les administrateurs, les mots de passe réseau de ces comptes sont automatiquement réinitialisés.
Vous n’avez pas besoin d’effectuer des tâches de gestion SPN complexes pour utiliser des comptes de service administrés.
Vous pouvez déléguer à des utilisateurs non administrateurs les tâches d’administration des comptes de service administrés.
Note
Les comptes de service managé s’appliquent uniquement aux systèmes d’exploitation Windows répertoriés dans la section S’applique au début de cet article.
Comptes de service gérés par groupe
Les comptes de service administrés de groupe sont une extension de comptes de service administrés autonomes. Ce sont des comptes de domaine administrés qui fournissent une gestion automatique des mots de passe et une gestion simplifiée du SPN, y compris la délégation de la gestion à d’autres administrateurs.
Un compte de service administré de groupe offre les mêmes fonctionnalités qu'un compte de service administré autonome dans le domaine, mais les étend sur plusieurs serveurs. Quand vous vous connectez à un service hébergé sur une batterie de serveurs, comme l’équilibrage de la charge réseau, les protocoles d’authentification prenant en charge l’authentification mutuelle nécessitent que toutes les instances des services utilisent le même principal. Quand les comptes de service administrés de groupe sont utilisés comme principaux de service, le système d’exploitation Windows Server gère le mot de passe du compte à la place de l’administrateur.
Le service de distribution de clés Microsoft (kdssvc.dll) fournit le mécanisme permettant d’obtenir en toute sécurité la dernière clé ou une clé spécifique avec un identificateur de clé pour un compte Active Directory. Ce service a été introduit dans Windows Server 2012 et il ne s’exécute pas sur les versions antérieures du système d’exploitation Windows Server. Kdssvc.dll partage un secret, utilisé pour créer des clés pour le compte. Ces clés sont modifiées périodiquement. Pour un compte de service managé de groupe, le contrôleur de domaine (DC) calcule le mot de passe sur la clé fournie par kdssvc.dll, en plus d’autres attributs du compte de service géré de groupe.
Comptes de service managé délégués
Un nouveau type de compte appelé compte de service administré délégué (dMSA) est désormais pris en charge par Windows Server 2025. Ce type de compte vous permet de passer de comptes de service traditionnels à des comptes de machine dotés de clés gérées et entièrement aléatoires, tout en désactivant les mots de passe des comptes de service d'origine. L’authentification pour dMSA est liée à l’identité de l’appareil, ce qui signifie que seules les identités de machine spécifiées mappées dans AD peuvent accéder au compte. En utilisant dMSA, vous pouvez éviter le problème courant de la collecte d'informations d'identification à l'aide d'un compte compromis qui est associé à des comptes de service traditionnels.
Vous pouvez créer un dMSA en tant que compte autonome ou remplacer un compte de service standard existant par celui-ci. Si un compte existant est remplacé par un dMSA, l'authentification à l'aide du mot de passe de l'ancien compte est bloquée. Au lieu de cela, la requête est redirigée vers l'autorité de sécurité locale (LSA) pour l'authentification à l'aide du dMSA, qui a accès aux mêmes ressources que le compte précédent dans AD. Pour en savoir plus, consultez Vue d’ensemble des Comptes de Service Managé Délégué.
Comptes virtuels
Les comptes virtuels sont des comptes locaux gérés qui simplifient l’administration des services en fournissant les avantages suivants :
- Le compte virtuel est administré automatiquement.
- Le compte virtuel peut accéder au réseau dans un environnement de domaine.
- Aucune gestion des mots de passe n'est requise. Par exemple, si la valeur par défaut est utilisée pour les comptes de service lors de l’installation de SQL Server sur Windows Server, un compte virtuel qui utilise le nom de l’instance comme nom de service est établi au format
NT SERVICE\<SERVICENAME>.
Les services qui s’exécutent comme comptes virtuels accèdent aux ressources réseau en utilisant les informations d’identification du compte de l’ordinateur, au format <domain_name>\<computer_name>$.
Pour savoir comment configurer et utiliser des comptes de service virtuel, consultez Concepts liés aux comptes de service gérés et aux comptes virtuels.
Note
Les comptes virtuels s’appliquent uniquement aux systèmes d’exploitation Windows répertoriés dans la liste s’applique au début de cet article.
Choisir votre compte de service
Les comptes de service sont utilisés pour contrôler l’accès du service aux ressources locales et réseau. Ils permettent de s’assurer que le service peut fonctionner de manière sécurisée sans exposer des informations ou ressources sensibles à des utilisateurs non autorisés. Le tableau suivant décrit les principales différences entre les types de compte :
| Criterion | sMSA | gMSA | dMSA | Comptes virtuels |
|---|---|---|---|---|
| L’application s’exécute sur un seul serveur | Yes | Yes | Yes | Yes |
| L’application s’exécute sur plusieurs serveurs | No | Yes | No | No |
| L’application s’exécute derrière un équilibreur de charge | No | Yes | No | No |
| Exécutions d’applications sur Windows Server | Yes | No | No | Yes |
| Obligation de limiter le compte de service à un seul serveur | Yes | No | Yes | No |
| Prend en charge le compte d’ordinateur lié à l’identité de l’appareil | No | No | Yes | No |
| Utiliser pour les scénarios avec une sécurité élevée (empêcher la collecte d’informations d’identification) | No | No | Yes | No |
Lorsque vous choisissez un compte de service, il est important de prendre en compte des facteurs tels que le niveau d’accès requis par le service et les stratégies de sécurité en place sur le serveur. Vous devez également évaluer les besoins spécifiques de l’application ou du service en cours d’exécution.
sMSA : conçu pour une utilisation sur un seul ordinateur, les SMSA fournissent une méthode sécurisée et simplifiée pour la gestion des noms de service et des informations d’identification. Ils gèrent automatiquement les mots de passe et sont parfaits pour isoler les comptes de domaine dans les applications critiques. Toutefois, ils ne peuvent pas être utilisées sur plusieurs serveurs ou dans des clusters de serveurs.
gMSA : Étendez les fonctionnalités des SMSA en prenant en charge plusieurs serveurs, ce qui les rend adaptées aux batteries de serveurs et aux applications à charge équilibrée. Ils offrent une gestion automatique du mot de passe et du SPN, ce qui facilite les charges administratives. Les gMSA fournissent une solution d’identité unique, grâce à laquelle les services peuvent s’authentifier sur plusieurs instances en toute transparence.
dMSA : Lie l’authentification à des identités d’ordinateur spécifiques, empêchant l’accès non autorisé via la collecte des informations d’identification, ce qui permet la transition des comptes de service traditionnels avec des clés complètement aléatoires et gérées. Les dMSA peuvent remplacer les comptes de service traditionnels existants, ce qui garantit que seuls les appareils autorisés peuvent accéder aux ressources sensibles.
Comptes virtuels : un compte local géré qui fournit une approche simplifiée de l’administration des services sans avoir besoin de gestion manuelle des mots de passe. Ils peuvent accéder aux ressources réseau à l’aide des informations d’identification du compte d’ordinateur, ce qui les rend adaptés aux services qui nécessitent un accès au domaine. Les comptes virtuels sont gérés automatiquement et nécessitent une configuration minimale.
Contenu connexe
| Type de contenu | References |
|---|---|
| Évaluation du produit |
Nouveautés des comptes de service managé Bien démarrer avec les comptes de service gérés de groupe |
| Deployment | Windows Server 2012 : comptes de service gérés de groupe - Communauté technique |
| Technologies connexes |
Principaux de sécurité Nouveautés de Windows Server 2016 |