Tentang Akun Masuk Layanan
Ketika layanan berbasis Win32 dimulai, layanan masuk ke komputer lokal. Ini dapat masuk sebagai:
- Akun pengguna lokal atau domain.
- Akun LocalSystem.
Akun masuk menentukan identitas keamanan layanan pada run time, yaitu konteks keamanan utama layanan. Konteks keamanan menentukan kemampuan layanan untuk mengakses sumber daya lokal dan jaringan. Misalnya, layanan yang berjalan dalam konteks keamanan akun pengguna lokal tidak dapat mengakses sumber daya jaringan. Sebaliknya, layanan yang berjalan dalam konteks keamanan akun LocalSystem pada pengendali domain Windows 2000 (DC), akan memiliki akses tidak terbatas ke DC. Untuk informasi selengkapnya, dan diskusi tentang manfaat dan batasan antara akun pengguna dan LocalSystem, lihat Konteks Keamanan dan Layanan Domain Direktori Aktif.
Pada akhirnya, administrator pada sistem tempat layanan diinstal memiliki kontrol atas akun masuk layanan. Untuk alasan keamanan, beberapa administrator mungkin tidak mengizinkan Anda menginstal layanan Anda di bawah akun LocalSystem. Layanan Anda harus dapat berjalan di bawah akun pengguna domain. Sebagai programmer, Anda dapat menjalankan beberapa kontrol atas akun masuk layanan Anda. Penginstal layanan Anda menentukan akun masuk layanan saat memanggil fungsi CreateService untuk menginstal layanan di komputer host. Alat penginstal Anda dapat menyarankan akun masuk default, tetapi harus memungkinkan administrator untuk menentukan akun aktual.
Alat penginstal Anda juga dapat melakukan tugas berikut yang berkaitan dengan akun masuk layanan Anda:
- Penginstalan. Jika menginstal layanan Anda untuk dijalankan di bawah akun pengguna, akun harus ada sebelum Anda memanggil CreateService. Anda dapat menggunakan akun yang sudah ada atau membuatnya sebagai bagian dari penginstal komputer host. Untuk informasi selengkapnya, lihat Menyiapkan Akun Pengguna Layanan.
- Autentikasi. Jika Anda ingin klien menggunakan autentikasi bersama Kerberos, daftarkan SPN di akun masuk layanan. Jika layanan berjalan di bawah akun LocalSystem, akun masuk layanan adalah akun komputer komputer host. Untuk informasi selengkapnya, lihat Nama Perwakilan Layanan.
- Berikan Akses. Pastikan bahwa layanan pada waktu proses memiliki hak akses dan hak istimewa yang diperlukan untuk melakukan tugasnya. Ini dapat memerlukan pengaturan entri kontrol akses (ACL) dalam deskriptor keamanan dari berbagai sumber daya, yaitu objek direktori, berbagi file, dan sebagainya, untuk memungkinkan hak akses yang diperlukan ke akun pengguna atau komputer. Untuk informasi selengkapnya, lihat Memberikan Hak Akses ke Akun Masuk Layanan.
- Atur Hak Istimewa. Tetapkan hak istimewa ke akun masuk yang ditentukan, seperti hak untuk masuk sebagai layanan ke komputer host. Untuk informasi selengkapnya, lihat Memberikan Masuk sebagai Layanan Tepat di Komputer Host.
Setelah layanan diinstal, ada tugas pemeliharaan yang terkait dengan akun masuk layanan Anda. Untuk informasi selengkapnya, lihat Tugas Pemeliharaan Akun Masuk.
- Pemeliharaan kata sandi. Untuk layanan yang berjalan di bawah akun pengguna, Anda harus mengubah kata sandi secara berkala dan menjaga kata sandi tetap sinkron dengan kata sandi yang digunakan oleh satu atau beberapa manajer kontrol layanan lokal untuk memulai layanan.
- Pemeliharaan SPN. Jika akun masuk layanan berubah, hapus SPN yang terdaftar di akun lama dan daftarkan di akun baru. Ketahuilah bahwa ketika layanan diinstal, administrator domain dapat mengubah akun tempat layanan Anda berjalan; gunakan fungsi Win32 atau antarmuka pengguna alat administratif Manajemen Komputer.
- Pemeliharaan ACE. Jika akun masuk layanan berubah, Anda perlu memperbarui ACE dan keanggotaan grup untuk memastikan bahwa layanan masih dapat mengakses sumber daya yang diperlukan.