다음을 통해 공유


도메인 사용자 계정을 서비스 로그온 계정으로 사용

참고

다음 설명서는 개발자를 위한 것입니다. 도메인 사용자 계정과 관련된 오류 메시지에 대한 정보를 찾는 최종 사용자인 경우 Microsoft 커뮤니티 포럼을 참조하세요. 도메인 사용자 계정 관리에 대한 자세한 내용은 TechNet을 참조하세요.

도메인 사용자 계정을 사용하면 서비스에서 Windows 및 Microsoft Active Directory Domain Services의 서비스 보안 기능을 최대한 활용할 수 있습니다. 서비스에는 계정 또는 계정이 구성원인 모든 그룹에 부여된 로컬 및 네트워크 액세스 권한이 있습니다. 서비스는 Kerberos 상호 인증을 지원할 수 있습니다.

도메인 사용자 계정을 사용하는 이점은 서비스의 작업이 계정과 연결된 액세스 권한 및 권한에 의해 제한된다는 것입니다. LocalSystem 서비스와 달리 사용자 계정 서비스의 버그로 인해 시스템이 손상될 수 없습니다. 보안 공격으로 서비스가 손상된 경우 손상은 시스템에서 사용자 계정이 수행할 수 있도록 허용하는 작업으로 격리됩니다. 동시에 다양한 권한 수준에서 실행되는 클라이언트는 서비스에 연결할 수 있으므로 서비스에서 클라이언트를 가장하여 중요한 작업을 수행할 수 있습니다.

서비스의 사용자 계정은 로컬, 도메인 또는 엔터프라이즈인 관리자 그룹의 구성원이 아니어야 합니다. 서비스에 로컬 관리 권한이 필요한 경우 계정으로 LocalSystem 실행합니다. 도메인 관리 권한이 필요한 작업의 경우 클라이언트 애플리케이션의 보안 컨텍스트를 가장하여 수행합니다.

도메인 사용자 계정을 사용하는 서비스 instance 계정 암호를 유지하려면 주기적인 관리 작업이 필요합니다. 서비스 instance 호스트 컴퓨터의 SCM(서비스 제어 관리자)은 서비스에 대한 로깅에 사용할 계정 암호를 캐시합니다. 계정 암호를 변경하는 경우 서비스가 설치된 호스트 컴퓨터에서 캐시된 암호도 업데이트해야 합니다. 자세한 내용과 코드 예제는 서비스의 사용자 계정에서 암호 변경을 참조하세요. 암호를 변경하지 않고 정기적인 유지 관리를 방지할 수 있지만 서비스 계정에 대한 암호 공격 가능성이 높아집니다. SCM이 레지스트리의 보안 부분에 암호를 저장하더라도 공격 대상이 됩니다.

도메인 사용자 계정에는 디렉터리에 있는 사용자 개체의 고유 이름과 로컬 서비스 제어 관리자에서 사용하는 "<domain>\<username>" 형식의 두 가지 이름 형식이 있습니다. 한 형식에서 다른 형식으로 변환하는 자세한 내용 및 코드 예제는 도메인 계정 이름 형식 변환을 참조하세요.