サービス アカウント
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016
サービス アカウントは、Windows Server オペレーティング システムで実行されているサービスのセキュリティ コンテキストを提供するために明示的に作成されるユーザー アカウントです。 セキュリティ コンテキストによって、サービスがローカルおよびネットワーク リソースにアクセスできるかどうかが決まります。 Windows オペレーティング システムは、さまざまな機能を実行するサービスに依存しています。 これらのサービスは、アプリケーション、サービス スナップイン、タスク マネージャー、または Windows PowerShell を使用して構成できます。
この記事には、次の種類のサービス アカウントに関する情報が含まれています。
スタンドアロンの管理されたサービス アカウント
管理されたサービス アカウントは、インターネット インフォメーション サービス (IIS) などの重要なアプリケーションでドメイン アカウントを分離するように設計されています。 それらを使用すると、管理者がアカウントのサービス プリンシパル名 (SPN) と資格情報を手動で管理する必要がなくなります。
管理されたサービス アカウントを使用するには、アプリケーションまたはサービスがインストールされているサーバーで Windows Server 2008 R2 以降が実行されている必要があります。 1 つの管理されたサービス アカウントを 1 台のコンピューター上で複数のサービスに使用できます。 管理されたサービス アカウントを複数のコンピューター間で共有することはできません。また、サービスが複数のクラスター ノードにレプリケートされるサーバー クラスターでは使用できません。 このシナリオにはグループの管理されたサービス アカウントを使用する必要があります。 詳細については、「グループの管理されたサービス アカウントの概要」を参照してください。
重要なサービスに個々のアカウントを持つことによって提供される強化されたセキュリティに加えて、管理されたサービス アカウントに関連する 4 つの重要な管理上の利点があります。
ローカル コンピューターでサービスを維持管理するために使用できるドメイン アカウントのクラスを作成できます。
管理者が手動でパスワードをリセットする必要があるドメイン アカウントとは異なり、これらのアカウントのネットワーク パスワードは自動的にリセットされます。
管理されたサービス アカウントを使用するために複雑な SPN 管理タスクを実行する必要はありません。
管理されたサービス アカウントの管理タスクを管理者以外に委任できます。
注意
管理されたサービス アカウントは、この記事の冒頭にある「適用対象」に記載されている Windows オペレーティング システムにのみ適用されます。
グループ管理サービス アカウント
グループの管理されたサービス アカウントは、Windows Server 2008 R2 で導入されたスタンドアロンの管理されたサービス アカウントの拡張機能です。 これらのアカウントは管理されたドメイン アカウントであり、パスワードの自動管理と簡略化された SPN の管理を可能にします (他の管理者への管理の委任も可)。
グループの管理されたサービス アカウントは、ドメイン内のスタンドアロンの管理されたサービス アカウントと同じ機能を提供するものですが、複数のサーバーにその機能を拡張できます。 ネットワーク負荷分散など、サーバー ファームでホストされているサービスに接続するときは、相互認証をサポートする認証プロトコルによって、サービスのすべてのインスタンスが同じプリンシパルを使用することが必要とされます。 グループの管理されたサービス アカウントをサービス プリンシパルとして使用すると、Windows Server オペレーティング システムでアカウントのパスワードが管理され、管理者がパスワードを管理することはなくなります。
Microsoft キー配布サービス (kdssvc.dll) は、Active Directory (AD) アカウントのキー識別子を持つ最新のキーまたは特定のキーを安全に取得するためのメカニズムを提供します。 このサービスは Windows Server 2012 で導入されたもので、それ以前のバージョンの Windows Server オペレーティング システムでは動作しません。 キー配布サービスは、アカウントのキーの作成に使用されるシークレットを共有します。 これらのキーは定期的に変更されます。 グループの管理されたサービス アカウントを使用すると、グループの管理されたサービス アカウントの他の属性に加え、キー配布サービスから提供されたキーに基づくパスワードがドメイン コントローラーによって計算されます。
グループ管理の実用的なアプリケーション
グループの管理されたサービス アカウントは、サーバー ファーム上またはネットワーク負荷分散を使用するシステム上で実行されているサービスに対し、単一の ID ソリューションを提供します。 グループの管理されたサービス アカウント ソリューションを提供すると、グループの管理されたサービス アカウント プリンシパル向けにサービスを構成でき、パスワード管理がオペレーティング システムによって処理されます。
グループの管理されたサービス アカウントを使うと、サービス管理者は、サービス インスタンス間のパスワードの同期を管理する必要がありません。 グループの管理されたサービス アカウントは、長時間オフライン状態が続くホストと、サービスのすべてのインスタンスのメンバー ホストの管理をサポートします。 つまり、このしくみにより、既存のクライアント コンピューターが接続先のサービス インスタンスを把握しなくても認証できる単一 ID がサポートされたサーバー ファームを展開できます。
フェールオーバー クラスターでは、グループの管理されたサービス アカウントはサポートされていません。 ただし、クラスター サービスの上位で実行されるサービスは、Windows サービス、アプリ プール、またはスケジュールされたタスクである場合、あるいはグループの管理されたサービス アカウントまたはスタンドアロンの管理されたサービス アカウントをネイティブにサポートしている場合、グループの管理されたサービス アカウントまたはスタンドアロンの管理されたサービス アカウントを使用できます。
グループ管理のソフトウェアの要件
グループの管理されたサービス アカウントは、Windows Server 2012 以降が実行されているコンピューターでのみ構成および管理できます。 ただし、そのアカウントは、Windows Server 2012 より前のオペレーティング システムが実行されているドメイン コントローラーをまだ使用しているドメインに、単一のサービス ID ソリューションとして展開できます。 ドメインまたはフォレスト機能レベルの要件はありません。
グループの管理されたサービス アカウントを管理するために使用する Windows PowerShell コマンドを実行するには、64 ビット アーキテクチャが必要です。
管理されたサービス アカウントは、Kerberos でサポートされている暗号化の種類に依存します。 クライアント コンピューターが Kerberos プロトコルを使用してサーバーに対して認証を行うと、ドメイン コントローラーとサーバーでサポートされる暗号化によって保護された Kerberos サービス チケットがドメイン コントローラーで作成されます。 ドメイン コントローラーは、アカウントの msDS-SupportedEncryptionTypes 属性を使用して、サーバーでサポートされる暗号化を判別します。 属性がない場合、クライアント コンピューターがより強力な暗号化の種類をサポートしていないと見なされます。 管理されたサービス アカウント用に Advanced Encryption Standard (AES) を常に構成する必要があります。 管理されたサービス アカウントをホストするコンピューターが RC4 をサポート "しない" ように構成されている場合、認証は常に失敗します。
注意
Windows Server 2008 R2 で導入されたデータ暗号化標準 (DES) は、既定で無効になっています。 グループの管理されたサービス アカウントは、Windows Server 2012 より前の Windows オペレーティング システムには適用できません。
サポートされる暗号化の種類の詳細については、「 Kerberos 認証の変更点」を参照してください。
委任された管理サービス アカウント
Windows Server 2025 で導入された、委任された管理サービス アカウント (dMSA) と呼ばれる新しい種類のアカウントの追加がサポートされるようになりました。 この種類のアカウントを使用すると、ユーザーは従来型のサービス アカウントから、管理キーと完全にランダム化されたキーを持つマシン アカウントに移行しながら、元のサービス アカウント パスワードも無効にできます。 dMSAの認証はデバイスIDにリンクされ、ADにマップされた指定された機械IDのみがアカウントにアクセスできます。 dMSA を使用することにより、ユーザーは、従来型のサービス アカウントに関連付けられている侵害されたアカウントを使用した資格情報収集という一般的な問題を回避できます。
ユーザーは、dMSA をスタンドアロン アカウントとして作成することも、既存の標準サービス アカウントを置き換えることもできます。 既存のアカウントが dMSA に置き換えられた場合、古いアカウントのパスワードを使用した認証がブロックされます。 代わりに、dMSA を使用した認証のためにローカル セキュリティ機関 (LSA) に要求がリダイレクトされ、AD の前のアカウントと同じリソースにアクセス可能になります。 詳細については、委任された管理サービスアカウントの概要を参照してください。
仮想アカウント
仮想アカウントは、Windows Server 2008 R2 と Windows 7 で導入されました。 これらは、次のメリットを提供することでサービス管理を簡素化する、管理されたローカル アカウントです。
- 仮想アカウントは自動的に管理されます。
- 仮想アカウントはドメイン環境でネットワークにアクセスできます。
- パスワード管理の必要はありません。 たとえば、Windows Server 2008 R2 の SQL Server セットアップ時にサービス アカウントに既定値が使用される場合は、NT SERVICE\<サービス名> の形式で、インスタンス名をサービス名として使用する仮想アカウントが設定されます。
仮想アカウントとして実行されるサービスは、<ドメイン名>\<コンピューター名>$ の形式で、コンピューター アカウントの資格情報を使用してネットワーク リソースにアクセスします。
仮想サービス アカウントを構成して使用する方法については、「サービス アカウントのステップ バイ ステップ ガイド」を参照してください。
注意
仮想アカウントは、この記事の冒頭にある「適用対象」に記載されている Windows オペレーティング システムにのみ適用されます。
こちらもご覧ください
スタンドアロンの管理されたサービス アカウント、グループの管理されたサービス アカウント、仮想アカウントに関連するその他のリソースについては、次を参照してください。