Menggunakan akun pengguna domain sebagai akun masuk layanan

Catatan

Dokumentasi berikut adalah untuk pengembang. Jika Anda adalah pengguna akhir yang mencari informasi tentang pesan kesalahan yang melibatkan akun pengguna domain, lihat forum komunitas Microsoft. Untuk informasi tentang mengelola akun pengguna domain, lihat TechNet.

Akun pengguna domain memungkinkan layanan memanfaatkan sepenuhnya fitur keamanan layanan dari Layanan Active Directory Domain Services Windows dan Microsoft. Layanan ini memiliki akses lokal dan jaringan apa pun yang diberikan ke akun, atau ke grup mana pun yang merupakan anggota akun tersebut. Layanan ini dapat mendukung autentikasi bersama Kerberos.

Keuntungan menggunakan akun pengguna domain adalah bahwa tindakan layanan dibatasi oleh hak akses dan hak istimewa yang terkait dengan akun. LocalSystem Tidak seperti layanan, bug dalam layanan akun pengguna tidak dapat merusak sistem. Jika layanan disusupi oleh serangan keamanan, maka kerusakan diisolasi ke operasi yang memungkinkan sistem untuk melakukan akun pengguna. Pada saat yang sama, klien yang berjalan pada berbagai tingkat hak istimewa dapat terhubung ke layanan, yang memungkinkan layanan untuk meniru klien untuk melakukan operasi sensitif.

Akun pengguna layanan tidak boleh menjadi anggota grup administrator apa pun yang bersifat lokal, domain, atau perusahaan. Jika layanan Anda memerlukan hak istimewa administratif lokal, jalankan di LocalSystem bawah akun. Untuk operasi yang memerlukan hak istimewa administratif domain, lakukan dengan meniru konteks keamanan aplikasi klien.

Instans layanan yang menggunakan akun pengguna domain memerlukan tindakan administratif berkala untuk mempertahankan kata sandi akun. Manajer kontrol layanan (SCM) di komputer host instans layanan menyimpan kata sandi akun untuk digunakan dalam pengelogan pada layanan. Ketika Anda mengubah kata sandi akun, Anda juga harus memperbarui kata sandi yang di-cache pada komputer host tempat layanan diinstal. Untuk informasi selengkapnya dan contoh kode, lihat Mengubah kata sandi pada akun pengguna layanan. Anda dapat menghindari pemeliharaan rutin dengan membiarkan kata sandi tidak berubah, tetapi itu akan meningkatkan kemungkinan serangan kata sandi pada akun layanan. Ketahuilah bahwa meskipun SCM menyimpan kata sandi dalam bagian registri yang aman, itu tetap dapat diserang.

Akun pengguna domain memiliki dua format nama: nama khusus objek pengguna dalam direktori dan format "<domain>\<username>" yang digunakan oleh manajer kontrol layanan lokal. Untuk informasi selengkapnya dan contoh kode yang mengonversi dari satu format ke format lainnya, lihat Mengonversi format nama akun domain.