Account di servizio
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Un account del servizio è un account utente creato in modo esplicito per fornire un contesto di sicurezza per i servizi in esecuzione nei sistemi operativi Windows Server. Il contesto di sicurezza determina la capacità del servizio di accedere alle risorse locali e di rete. I sistemi operativi Windows si basano sui servizi per l'esecuzione di varie funzionalità. Questi servizi possono essere configurati tramite le applicazioni, lo snap-in Servizi o Gestione attività oppure tramite Windows PowerShell.
Questo articolo contiene informazioni sui tipi di account del servizio seguenti:
Account del servizio gestiti autonomi
Gli account del servizio gestiti sono progettati per isolare gli account di dominio nelle applicazioni cruciali, ad esempio Internet Information Services (IIS). Eliminano la necessità per l'amministratore di gestire manualmente il nome dell'entità servizio (SPN) e le credenziali per gli account.
Per usare gli account del servizio gestiti, è necessario che il server in cui è installato il servizio o l'applicazione esegua Windows Server 2008 R2 o versione successiva. È possibile usare un account del servizio gestito per i servizi in un singolo computer. Gli account del servizio gestiti non possono essere condivisi tra più computer, né usati in cluster di server in cui un servizio è replicato su più nodi del cluster. Per questo scenario, è necessario usare un account del servizio gestito del gruppo. Per altre informazioni, vedere Panoramica degli account del servizio gestiti del gruppo.
Oltre alla maggiore sicurezza associata alla presenza di singoli account per i servizi critici, l'uso degli account del servizio gestiti offre quattro importanti vantaggi a livello di amministrazione:
È possibile creare una classe di account di dominio da usare per la gestione e la manutenzione dei servizi nei computer locali.
A differenza degli account di dominio, che richiedono la reimpostazione manuale delle password da parte degli amministratori, le password per questi account vengono reimpostate automaticamente.
Non è necessario completare attività di gestione SPN complesse per usare gli account del servizio gestiti.
Le attività amministrative per gli account del servizio gestiti possono essere delegati a utenti non amministratori.
Nota
Gli account del servizio gestiti si applicano solo ai sistemi operativi Windows elencati nella sezione "Si applica a" all'inizio di questo articolo.
Account dei servizi gestiti di gruppo
Gli account del servizio gestiti del gruppo sono un'estensione degli account del servizio gestiti autonomi, introdotti in Windows Server 2008 R2. Si tratta di account di dominio gestiti che forniscono funzionalità di gestione automatica delle password e gestione dei nomi SPN semplificata, inclusa la delega della gestione ad altri amministratori.
Un account del servizio gestito del gruppo offre le stesse funzionalità di un account del servizio gestito autonomo all'interno del dominio, ma le estende su più server. Durante la connessione a un servizio ospitato in una server farm, ad esempio Bilanciamento carico di rete, i protocolli di autenticazione che supportano l'autenticazione reciproca richiedono che tutte le istanze dei servizi usino la stessa entità. Quando gli account del servizio gestiti del gruppo vengono usati come entità del servizio, il sistema operativo Windows Server gestisce la password dell'account anziché affidarsi a un amministratore per la gestione della password.
Il Servizio distribuzione chiavi Microsoft (kdssvc.dll) fornisce il meccanismo per ottenere in modo sicuro la chiave più recente o una chiave specifica con un identificatore di chiave per un account Active Directory (AD). Questo servizio è stato introdotto in Windows Server 2012 e non è compatibile con le versioni precedenti del sistema operativo Windows Server. Il Servizio distribuzione chiavi condivide un segreto che viene usato per creare le chiavi per l'account. Tali chiavi vengono modificate periodicamente. Per un account del servizio gestito del gruppo, il controller di dominio calcola la password sulla chiave fornita da Servizio distribuzione chiavi e su altri attributi dell'account del servizio gestito del gruppo.
Applicazioni pratiche degli account gestiti del gruppo
Gli account del servizio gestiti del gruppo offrono un'unica soluzione di identità per i servizi in esecuzione in una server farm o nei sistemi che usano Bilanciamento carico di rete. Grazie a una soluzione account del servizio gestito del gruppo, i servizi possono essere configurati per la nuova entità account del servizio gestito del gruppo e la gestione delle password viene effettuata dal sistema operativo.
Usando un account del servizio gestito del gruppo, gli amministratori dei servizi non devono gestire la sincronizzazione delle password tra istanze dei servizi. L'account del servizio gestito del gruppo supporta gli host che rimangono offline per periodi prolungati e la gestione di host membri per tutte le istanze di un servizio. Di conseguenza, è possibile distribuire una server farm in grado di supportare una singola identità a cui tutti i computer client esistenti possono autenticarsi senza che sia nota l'istanza del servizio a cui si stanno connettendo.
I cluster di failover non supportano gli account del servizio gestiti del gruppo. Tuttavia, i servizi eseguiti sul servizio cluster possono usare un account del servizio gestito del gruppo o un account del servizio gestito autonomo se si tratta di un servizio Windows, di un pool di app, di un'attività pianificata o se supportano gli account del servizio gestiti del gruppo oppure autonomi a livello nativo.
Requisiti software degli account del servizio gestiti del gruppo
Gli account del servizio gestiti del gruppo possono essere configurati e amministrati solo nei computer che eseguono Windows Server 2012 o versione successiva. Possono però essere distribuiti come un'unica soluzione di identità dei servizi nei domini in cui sono ancora presenti controller di dominio che eseguono sistemi operativi precedenti a Windows Server 2012. Non sono previsti requisiti per il livello di funzionalità dominio o foresta.
Per eseguire i comandi di Windows PowerShell necessari per amministrare account del servizio gestiti del gruppo è richiesta un'architettura a 64 bit.
Un account del servizio gestito dipende dai tipi di crittografia supportati da Kerberos. Quando un computer client esegue l'autenticazione a un server usando il protocollo Kerberos, il controller di dominio crea un ticket di servizio Kerberos protetto con la crittografia supportata dal controller di dominio e dal server. Il controller di dominio usa l'attributo msDS-SupportedEncryptionTypes dell'account per determinare la crittografia supportata dal server. Se non sono presenti attributi, presuppone che il computer client non supporti tipi di crittografia più avanzati. Per gli account del servizio gestiti deve essere sempre configurato Advanced Encryption Standard (AES). Se i computer che ospitano l'account del servizio gestito sono configurati per non supportare RC4, l'autenticazione avrà sempre esito negativo.
Nota
Introdotta in Windows Server 2008 R2, la crittografia DES (Data Encryption Standard) è disabilitata per impostazione predefinita. Non è possibile applicare gli account del servizio gestiti del gruppo ai sistemi operativi Windows precedenti a Windows Server 2012.
Per altre informazioni sui tipi di crittografia supportati, vedere Modifiche all'autenticazione Kerberos.
Account del servizio gestito delegati
A partire da Windows Server 2025, è stato aggiunto un nuovo tipo di account denominato account del servizio gestito delegato (dMSA). Questo tipo di account consente agli utenti di passare dagli account del servizio tradizionali agli account computer che dispongono di chiavi gestite e completamente casuali, disabilitando al contempo le password dell'account del servizio originali. L'autenticazione per dMSA è collegata all'identità del dispositivo, il che significa che solo le identità del computer specificate mappate in AD possono accedere all'account. Usando dMSA, gli utenti possono evitare il problema comune della raccolta delle credenziali usando un account compromesso associato agli account del servizio tradizionali.
Gli utenti hanno la possibilità di creare un dMSA come account autonomo o di sostituire un account del servizio standard esistente. Se un account esistente viene sostituito da un dMSA, l'autenticazione con la password dell'account precedente viene bloccata. La richiesta viene invece reindirizzata all'autorità di protezione locale (LSA) per l'autenticazione tramite dMSA, che avrà accesso alle stesse risorse dell'account precedente in AD. Per altre informazioni, vedere Panoramica degli account del servizio gestito delegati.
Account virtuali
Gli account virtuali sono stati introdotti in Windows Server 2008 R2 e Windows 7. Si tratta di account locali gestiti che offrono le funzionalità elencate di seguito per semplificare l'amministrazione dei servizi:
- L'account virtuale viene gestito automaticamente.
- L'account virtuale può accedere alla rete in un ambiente di dominio.
- Non è necessaria la gestione delle password. Ad esempio, se durante l'installazione di SQL Server in Windows Server 2008 R2 viene usato il valore predefinito per gli account del servizio, sarà usato un account virtuale con il nome dell'istanza come nome del servizio, nel formato NT SERVICE\<SERVICENAME>.
I servizi eseguiti come account virtuali accedono alle risorse di rete usando le credenziali dell'account del computer nel formato <nome_dominio>\<nome_computer>$.
Per informazioni su come configurare e usare gli account del servizio virtuali, vedere la Guida dettagliata agli account del servizio.
Nota
Gli account virtuali si applicano solo ai sistemi operativi Windows elencati nella sezione "Si applica a" all'inizio di questo articolo.
Vedi anche
Per altre risorse correlate agli account del servizio gestiti, agli account del servizio gestiti del gruppo e agli account virtuali, vedere:
| Content type | Riferimenti |
|---|---|
| Valutazione del prodotto | Novità per gli account del servizio gestiti Introduzione agli account del servizio gestiti del gruppo |
| Distribuzione | Windows Server 2012: Account del servizio gestiti del gruppo - Ask Premier Field Engineering (PFE) Platforms - Home del sito - Blog di TechNet |
| Tecnologie correlate | Entità di sicurezza Novità di Active Directory Domain Services |