Comptes de service
S’applique à : Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016
Un compte de service est un compte d’utilisateur créé explicitement pour fournir un contexte de sécurité aux services qui s’exécutent sur les systèmes d’exploitation Windows Server. Le contexte de sécurité détermine la capacité du service à accéder aux ressources locales et réseau. Les systèmes d’exploitation Windows s’appuient sur des services pour exécuter diverses fonctionnalités. Ces services peuvent être configurés par les applications, le composant logiciel enfichable Services ou le Gestionnaire des tâches, ou en utilisant Windows PowerShell.
Cet article contient des informations sur les types de comptes de service suivants :
- Comptes de service géré autonomes
- Comptes de service gérés de groupe
- Comptes de services gérés délégués
- Comptes virtuels
Comptes de service géré autonomes
Les comptes de service administrés sont conçus pour isoler les comptes de domaine dans des applications cruciales, comme Internet Information Services (IIS). Ils évitent à l’administrateur d’administrer manuellement le nom du principal de service (SPN) et les informations d’identification des comptes.
Pour utiliser des comptes de service administrés, le serveur sur lequel l’application ou le service est installé doit exécuter Windows Server 2008 R2 ou version ultérieure. Un seul compte de service administré par ordinateur peut être utilisé pour les services. Les comptes de services administrés ne peuvent pas être partagés entre plusieurs ordinateurs ni être utilisés dans des clusters de serveurs si un service est répliqué sur plusieurs nœuds de cluster. Pour ce scénario, vous devez utiliser un compte de service administré de groupe. Pour plus d’informations, consultez Vue d’ensemble des comptes de service administrés de groupe.
En plus d’une sécurité renforcée par l’existence de comptes individuels pour les services stratégiques, les comptes de services administrés présentent quatre avantages importants en termes d’administration :
Vous pouvez créer une classe de comptes de domaine qui peut être utilisée pour gérer les services sur des ordinateurs locaux.
Contrairement aux comptes de domaine dont les mots de passe doivent être réinitialisés manuellement par les administrateurs, les mots de passe réseau de ces comptes sont automatiquement réinitialisés.
Vous n’avez pas besoin d’effectuer des tâches de gestion SPN complexes pour utiliser des comptes de service administrés.
Vous pouvez déléguer les tâches d’administration des comptes de service administrés à des utilisateurs non administrateurs.
Remarque
Les comptes de service administrés s’appliquent uniquement aux systèmes d’exploitation Windows listés dans la section S’applique à au début de cet article.
Comptes de service gérés de groupe
Les comptes de service administrés de groupe sont une extension des comptes de service administrés autonomes, qui ont été introduits dans Windows Server 2008 R2. Ce sont des comptes de domaine administrés qui fournissent une gestion automatique des mots de passe et une gestion simplifiée du SPN, y compris la délégation de la gestion à d’autres administrateurs.
Un compte de service administré de groupe offre les mêmes fonctionnalités que le compte de service administré autonome dans le domaine, mais les étend sur plusieurs serveurs. Quand vous vous connectez à un service hébergé sur une batterie de serveurs, comme l’équilibrage de la charge réseau, les protocoles d’authentification prenant en charge l’authentification mutuelle nécessitent que toutes les instances des services utilisent le même principal. Quand les comptes de service administrés de groupe sont utilisés comme principaux de service, le système d’exploitation Windows Server gère le mot de passe du compte à la place de l’administrateur.
Le service de distribution de clés Microsoft (kdssvc.dll) fournit le mécanisme nécessaire pour obtenir en toute sécurité la dernière clé ou une clé spécifique avec un identificateur de clé d’un compte Active Directory (AD). Ce service a été introduit dans Windows Server 2012 et il ne s’exécute pas sur les versions antérieures du système d’exploitation Windows Server. Kdssvc.dll partage un secret, utilisé pour créer des clés pour le compte. Ces clés sont modifiées périodiquement. Pour un compte de service administré de groupe, le contrôleur de domaine (CD) calcule le mot de passe sur la clé fournie par kdssvc.dll, en plus d’autres attributs du compte de service administré de groupe.
Comptes de services gérés délégués
L’ajout d’un nouveau type de compte appelé delegated Managed Service Account (dMSA) est désormais pris en charge par Windows Server 2025. Ce type de compte permet aux utilisateurs de passer de comptes de service traditionnels à des comptes de machine dotés de clés gérées et entièrement aléatoires, tout en désactivant les mots de passe des comptes de service d'origine. L’authentification pour dMSA est liée à l’identité de l’appareil, ce qui signifie que seules les identités de machine spécifiées mappées dans AD peuvent accéder au compte. En utilisant dMSA, les utilisateurs peuvent éviter le problème courant de la collecte d'informations d'identification à l'aide d'un compte compromis qui est associé à des comptes de service traditionnels.
Les utilisateurs ont la possibilité de créer un dMSA en tant que compte autonome ou de remplacer un compte de service standard existant par un dMSA. Si un compte existant est remplacé par un dMSA, l'authentification à l'aide du mot de passe de l'ancien compte est bloquée. Au lieu de cela, la requête est redirigée vers l'autorité de sécurité locale (LSA) pour l'authentification à l'aide du dMSA, qui aura accès aux mêmes ressources que le compte précédent dans AD. Pour en savoir plus, consultez Vue d’ensemble des Comptes de Service Managé Délégué.
Comptes virtuels
Les comptes virtuels ont été introduits dans Windows Server 2008 R2 et Windows 7. Il s'agit de comptes locaux gérés qui simplifient l'administration des services en offrant les avantages suivants :
- Le compte virtuel est administré automatiquement.
- Le compte virtuel peut accéder au réseau dans un environnement de domaine.
- Aucune gestion des mots de passe n'est requise. Par exemple, si la valeur par défaut est utilisée pour les comptes de service pendant la configuration de SQL Server sur Windows Server 2008 R2, un compte virtuel qui utilise le nom de l’instance comme nom de service est établi au format
NT SERVICE\<SERVICENAME>.
Les services qui s’exécutent comme comptes virtuels accèdent aux ressources réseau en utilisant les informations d’identification du compte de l’ordinateur au format <domain_name>\<computer_name>$.
Pour savoir comment configurer et utiliser des comptes de service virtuel, consultez Concepts liés aux comptes de service administrés et aux comptes virtuels.
Remarque
Les comptes virtuels s’appliquent uniquement aux systèmes d’exploitation Windows listés dans la section « S’applique à » au début de cet article.
Choisir votre compte de service
Les comptes de service sont utilisés pour contrôler l’accès du service aux ressources locales et réseau. Ils permettent de s’assurer que le service peut fonctionner de manière sécurisée sans exposer des informations ou ressources sensibles à des utilisateurs non autorisés. Pour afficher les différences entre les types de comptes de service, consultez notre tableau de comparaison :
| Critère | sMSA | gMSA | dMSA | Comptes virtuels |
|---|---|---|---|---|
| L’application s’exécute sur un seul serveur | Oui | Oui | Oui | Oui |
| L’application s’exécute sur plusieurs serveurs | Non | Oui | No | Non |
| L’application s’exécute derrière un équilibreur de charge | Non | Oui | No | Non |
| L’application s’exécute sur Windows Server 2008 R2 et versions ultérieures | Oui | No | Non | Oui |
| Obligation de limiter le compte de service à un seul serveur | Oui | No | Oui | Non |
| Prend en charge le compte d’ordinateur lié à l’identité de l’appareil | Non | Non | Oui | Non |
| Utiliser pour les scénarios avec une sécurité élevée (empêcher la collecte d’informations d’identification) | Non | Non | Oui | Non |
Lors du choix d’un compte de service, il est important de prendre en compte des facteurs tels que le niveau d’accès requis par le service, les stratégies de sécurité en place sur le serveur et les besoins spécifiques de l’application ou du service exécuté.
sMSA : conçu pour une utilisation sur un seul ordinateur, les sMSA fournissent une méthode sécurisée et simplifiée pour la gestion des SPN et des informations d’identification. Ils gèrent automatiquement les mots de passe et sont parfaits pour isoler les comptes de domaine dans les applications critiques. Toutefois, ils ne peuvent pas être utilisées sur plusieurs serveurs ou dans des clusters de serveurs.
gMSA : étend les fonctionnalités des sMSA en prenant en charge plusieurs serveurs, ce qui les rend adaptées aux batteries de serveurs et aux applications à charge équilibrée. Ils offrent une gestion automatique du mot de passe et du SPN, ce qui facilite les charges administratives. Les gMSA fournissent une solution d’identité unique, grâce à laquelle les services peuvent s’authentifier sur plusieurs instances en toute transparence.
dMSA : lie l’authentification à des identités de machine spécifiques, empêchant ainsi tout accès non autorisé par le biais d’une collecte d’informations d’identification, ce qui permet de passer des comptes de service traditionnels à des clés entièrement aléatoires et gérées. Les dMSA peuvent remplacer les comptes de service traditionnels existants, ce qui garantit que seuls les appareils autorisés peuvent accéder aux ressources sensibles.
Comptes virtuels : un compte local géré qui fournit une approche simplifiée de l’administration des services sans recourir à la gestion manuelle des mots de passe. Ils peuvent accéder aux ressources réseau à l’aide des informations d’identification du compte d’ordinateur, ce qui les rend adaptés aux services qui nécessitent un accès au domaine. Les comptes virtuels sont gérés automatiquement et nécessitent une configuration minimale.
Voir aussi
| Type de contenu | Références |
|---|---|
| Évaluation du produit | What's New for Managed Service Accounts Bien démarrer avec les comptes de service administrés de groupe |
| Déploiement | Windows Server 2012 : comptes de service administrés de groupe - Communauté technique |
| Technologies associées | Principaux de sécurité Nouveautés Active Directory Domain Services |