Uso di un account utente di dominio come account di accesso al servizio
Nota
La documentazione seguente è destinata agli sviluppatori. Se si è un utente finale che cerca informazioni su un messaggio di errore relativo agli account utente di dominio, vedere i forum della community Microsoft. Per informazioni sulla gestione degli account utente di dominio, vedere TechNet.
Un account utente di dominio consente al servizio di sfruttare appieno le funzionalità di sicurezza dei servizi di Windows e Microsoft Dominio di Active Directory Services. Il servizio ha qualsiasi accesso locale e di rete concesso all'account o a qualsiasi gruppo di cui l'account è membro. Il servizio può supportare l'autenticazione reciproca Kerberos.
Il vantaggio dell'uso di un account utente di dominio è che le azioni del servizio sono limitate dai diritti di accesso e dai privilegi associati all'account. A differenza di un LocalSystem servizio, i bug in un servizio account utente non possono danneggiare il sistema. Se il servizio viene compromesso da un attacco di sicurezza, il danno è isolato per le operazioni che il sistema consente l'esecuzione dell'account utente. Allo stesso tempo, i client in esecuzione a diversi livelli di privilegio possono connettersi al servizio, che consente al servizio di rappresentare un client per eseguire operazioni sensibili.
L'account utente di un servizio non deve essere membro di alcun gruppo di amministratori locale, di dominio o aziendale. Se il servizio necessita di privilegi amministrativi locali, eseguirlo con l'account LocalSystem . Per le operazioni che richiedono privilegi amministrativi del dominio, eseguirle rappresentando il contesto di sicurezza di un'applicazione client.
Un'istanza del servizio che usa un account utente di dominio richiede un'azione amministrativa periodica per mantenere la password dell'account. Gestione controllo del servizio nel computer host di un'istanza del servizio memorizza nella cache la password dell'account da usare per l'accesso al servizio. Quando si modifica la password dell'account, è necessario aggiornare anche la password memorizzata nella cache nel computer host in cui è installato il servizio. Per altre informazioni e un esempio di codice, vedere Modifica della password nell'account utente di un servizio. È possibile evitare la manutenzione regolare lasciando invariata la password, ma ciò aumenterebbe la probabilità di un attacco password all'account del servizio. Tenere presente che, anche se Gestione controllo servizi archivia la password in una parte sicura del Registro di sistema, è comunque soggetta ad attacchi.
Un account utente di dominio ha due formati di nome: il nome distinto dell'oggetto utente nella directory e il formato "<domain>\<username>" usato dal gestore di controllo del servizio locale. Per altre informazioni e un esempio di codice che esegue la conversione da un formato all'altro, vedere Conversione dei formati di nome account di dominio.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per