Comptes d’ouverture de session de service

Un service, comme tout processus, a une identité de sécurité primaire qui détermine les droits d’accès et les privilèges accordés aux ressources locales et réseau. Cette identité de sécurité, ou contexte de sécurité, détermine également le potentiel du service pour endommager les ressources locales et réseau.

Le contexte de sécurité d’un service Microsoft Win32 est déterminé par le compte d’ouverture de session utilisé pour démarrer le service. Cette section traite des problèmes de programmation et des meilleures pratiques concernant le compte d’ouverture de session de service utilisé par les services Win32, en mettant l’accent sur les services avec annuaire. Cette section comprend les rubriques suivantes :

• À propos des comptes d’ouverture de session de service : vue d’ensemble des comptes d’ouverture de session de service et des problèmes de programmation de contexte de sécurité pour un service Win32.
• Instructions relatives à la sélection d’un compte d’ouverture de session de service pour un service Win32.
• Configuration du compte d’utilisateur d’un service.
• Installation d’un service sur un ordinateur hôte et spécification du compte d’ouverture de session du service.
• Octroi d’un droit d’ouverture de session en tant que service sur l’ordinateur hôte : octroi au compte d’utilisateur du service du droit d’ouverture de session en tant que service sur l’ordinateur hôte.
• Test de l’exécution sur un contrôleur de domaine : détection au moment de l’installation si le service instance est installé sur un contrôleur de domaine.
• Octroi de droits d’accès au compte d’ouverture de session du service : définition et maintenance des AE et des appartenances aux groupes pour garantir que le système accordera au service en cours d’exécution l’accès aux ressources réseau et locales nécessaires.
• Modification du mot de passe sur le compte d’utilisateur d’un service : modification du mot de passe sur le compte d’utilisateur d’un service et mise à jour du mot de passe inscrit auprès du gestionnaire de contrôle de service sur chaque serveur hôte sur lequel le service est installé.
• Authentification mutuelle à l’aide de Kerberos : maintien de l’inscription du nom du principal du service (SPN) sur l’objet d’annuaire associé au compte d’ouverture de session de chaque instance de votre service. Les SPN permettent aux clients d’authentifier un service à l’aide de l’authentification mutuelle Kerberos.
• Conversion des formats de nom de compte de domaine : par exemple, la conversion d’un nom unique au format Nomd’utilisateur de domaine**\**, et vice versa.