Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Een serviceaccount is een gebruikersaccount dat expliciet wordt gemaakt om een beveiligingscontext te bieden voor services die worden uitgevoerd op Windows Server-besturingssystemen. De beveiligingscontext bepaalt de mogelijkheid van de service om toegang te krijgen tot lokale en netwerkbronnen. Windows-besturingssystemen zijn afhankelijk van services voor het uitvoeren van verschillende functies. Deze services kunnen worden geconfigureerd via de toepassingen, de module Services of Taakbeheer, of met behulp van Windows PowerShell.
Dit artikel bevat informatie over de volgende typen serviceaccounts:
- Standalone Managed Service Accounts (zelfstandige beheerde serviceaccounts, sMSA)
- Groepsbeheerde serviceaccounts (gMSA)
- Gedelegeerde beheerde serviceaccounts (dMSA)
- virtuele accounts
Zelfstandige beheerde IT-serviceaccounts
Beheerde serviceaccounts zijn ontworpen om domeinaccounts te isoleren in cruciale toepassingen, zoals Internet Information Services (IIS). Ze elimineren de noodzaak voor een beheerder om de SPN (Service Principal Name) en referenties voor de accounts handmatig te beheren.
Eén beheerd serviceaccount kan worden gebruikt voor services op één computer. Beheerde serviceaccounts kunnen niet worden gedeeld tussen meerdere computers. Ze kunnen ook niet worden gebruikt in serverclusters waar een service wordt gerepliceerd op meerdere clusterknooppunten. Voor dit scenario moet u een door een groep beheerd serviceaccount gebruiken. Zie Overzicht van beheerde serviceaccounts voor groepenvoor meer informatie.
Naast de verbeterde beveiliging die wordt geboden door afzonderlijke accounts voor kritieke services te hebben, zijn er vier belangrijke administratieve voordelen gekoppeld aan beheerde serviceaccounts:
U kunt een klasse domeinaccounts maken die kunnen worden gebruikt voor het beheren en onderhouden van services op lokale computers.
In tegenstelling tot domeinaccounts waarin beheerders handmatig wachtwoorden opnieuw moeten instellen, worden de netwerkwachtwoorden voor deze accounts automatisch opnieuw ingesteld.
U hoeft geen complexe SPN-beheertaken te voltooien voor het gebruik van beheerde serviceaccounts.
U kunt beheertaken voor beheerde serviceaccounts delegeren aan niet-beheerdersaccounts.
Notitie
Beheerde serviceaccounts zijn alleen van toepassing op de Windows-besturingssystemen die worden vermeld in de lijst Van toepassing op aan het begin van dit artikel.
Door een groep beheerde serviceaccounts
Beheerde serviceaccounts voor groepen zijn een uitbreiding van zelfstandige beheerde serviceaccounts. Deze accounts zijn beheerde domeinaccounts die automatisch wachtwoordbeheer en vereenvoudigd SPN-beheer bieden, inclusief delegering van beheer aan andere beheerders.
Een beheerd serviceaccount voor groepen biedt dezelfde functionaliteit als een zelfstandig beheerd serviceaccount binnen het domein, maar deze functionaliteit wordt uitgebreid via meerdere servers. Wanneer u verbinding maakt met een service die wordt gehost op een serverfarm, zoals Netwerktaakverdeling, moeten voor de verificatieprotocollen die wederzijdse verificatie ondersteunen, alle exemplaren van de services dezelfde principal gebruiken. Wanneer beheerde serviceaccounts voor groepen worden gebruikt als service-principals, beheert het Windows Server-besturingssysteem het wachtwoord voor het account in plaats van dat de beheerder het wachtwoord beheert.
De Microsoft Key Distribution Service (kdssvc.dll) biedt het mechanisme voor het veilig verkrijgen van de meest recente sleutel of een specifieke sleutel met een sleutel-id voor een Ad-account (Active Directory). Deze service is geïntroduceerd in Windows Server 2012 en wordt niet uitgevoerd op eerdere versies van het Windows Server-besturingssysteem. Kdssvc.dll deelt een geheim, dat wordt gebruikt om sleutels voor het account te maken. Deze sleutels worden periodiek gewijzigd. Voor een beheerd serviceaccount voor een groep berekent de domeincontroller (DC) het wachtwoord op de sleutel die wordt geleverd door kdssvc.dll, naast andere kenmerken van het beheerde serviceaccount van de groep.
Gedelegeerde beheerde dienstaccounts
In Windows Server 2025 wordt een nieuw type account geïntroduceerd met de naam gedelegeerd Managed Service Account (dMSA). Met dit accounttype kunt u overstappen van traditionele serviceaccounts naar computeraccounts met beheerde en volledig gerandomiseerde sleutels, terwijl u ook de oorspronkelijke wachtwoorden van het serviceaccount uitschakelt. Verificatie voor dMSA is gekoppeld aan de apparaat-id, wat betekent dat alleen opgegeven computeridentiteiten die zijn toegewezen in AD toegang hebben tot het account. Met behulp van dMSA kunt u voorkomen dat referenties worden verzameld via een gecompromitteerd account dat is gekoppeld aan traditionele serviceaccounts.
U kunt een dMSA maken als een losstaand account of een bestaand standaardserviceaccount vervangen met een dMSA. Als een bestaand account wordt vervangen door een dMSA, wordt verificatie via het wachtwoord van het oude account geblokkeerd. In plaats daarvan wordt de aanvraag omgeleid naar de LSA (Local Security Authority) voor verificatie via de dMSA, die toegang heeft tot dezelfde resources als het vorige account in AD. Zie Overzicht van gedelegeerde beheerde serviceaccountsvoor meer informatie.
Virtuele accounts
Virtuele accounts zijn beheerde lokale accounts waarmee servicebeheer wordt vereenvoudigd door de volgende voordelen te bieden:
- Het virtuele account wordt automatisch beheerd.
- Het virtuele account heeft toegang tot het netwerk in een domeinomgeving.
- Wachtwoordbeheer is niet vereist. Als de standaardwaarde bijvoorbeeld wordt gebruikt voor de serviceaccounts tijdens het instellen van SQL Server in Windows Server, wordt een virtueel account aangemaakt dat de exemplaarnaam als de servicenaam gebruikt in het formaat
NT SERVICE\<SERVICENAME>.
Services die als virtuele accounts worden uitgevoerd, hebben toegang tot netwerkbronnen met behulp van de referenties van het computeraccount, in de indeling <domain_name>\<computer_name>$.
Voor informatie over het configureren en gebruiken van virtuele serviceaccounts, zie beheerde serviceaccount- en virtuele accountconcepten.
Notitie
Virtuele accounts zijn alleen van toepassing op de Windows-besturingssystemen die worden vermeld in de lijst Van toepassing op aan het begin van dit artikel.
Uw serviceaccount kiezen
Serviceaccounts worden gebruikt om de toegang van de service tot lokale en netwerkbronnen te beheren en ze zorgen ervoor dat de service veilig en veilig kan werken zonder gevoelige informatie of resources bloot te stellen aan onbevoegde gebruikers. In de volgende tabel worden de verschillen tussen serviceaccounttypen beschreven:
| Criterium | sMSA | gMSA | dMSA | Virtuele accounts |
|---|---|---|---|---|
| App wordt uitgevoerd op één server | Ja | Ja | Ja | Ja |
| App wordt uitgevoerd op meerdere servers | Nee | Ja | Nee | Nee |
| App wordt uitgevoerd achter een load balancer | Nee | Ja | Nee | Nee |
| App wordt uitgevoerd op Windows Server | Ja | Nee | Nee | Ja |
| Vereiste om het serviceaccount te beperken tot één server | Ja | Nee | Ja | Nee |
| Ondersteunt computeraccount dat is gekoppeld aan apparaat-id | Nee | Nee | Ja | Nee |
| Gebruiken voor scenario's met hoge beveiliging (voorkomen dat referenties worden geoogst) | Nee | Nee | Ja | Nee |
Wanneer u een serviceaccount kiest, is het belangrijk om rekening te houden met factoren zoals het toegangsniveau dat is vereist voor de service en het beveiligingsbeleid op de server. U moet ook de specifieke behoeften evalueren van de toepassing of service die wordt uitgevoerd.
sMSA: sMSA's zijn ontworpen voor gebruik op één computer en bieden een veilige en vereenvoudigde methode voor het beheren van SPN's en referenties. Ze beheren automatisch wachtwoorden en zijn ideaal voor het isoleren van domeinaccounts in kritieke toepassingen. Ze kunnen echter niet worden gebruikt op meerdere servers of in serverclusters.
gMSA-: breid de functionaliteit van SMSA's uit door meerdere servers te ondersteunen, zodat deze geschikt zijn voor serverfarms en toepassingen met gelijke taakverdeling. Ze bieden automatisch wachtwoord- en SPN-beheer, waardoor administratieve lasten worden versoepeld. gMSA's bieden één identiteitsoplossing, waardoor services naadloos kunnen worden geverifieerd in meerdere exemplaren.
dMSA-: hiermee koppelt u verificatie aan specifieke computeridentiteiten, waardoor onbevoegde toegang wordt voorkomen via het verzamelen van referenties, waardoor de overgang van traditionele serviceaccounts met volledig gerandomiseerde en beheerde sleutels mogelijk is. dMSA's kunnen bestaande traditionele serviceaccounts vervangen, zodat alleen geautoriseerde apparaten toegang hebben tot gevoelige resources.
virtuele accounts: een beheerd lokaal account dat een vereenvoudigde benadering biedt voor servicebeheer zonder dat handmatig wachtwoordbeheer nodig is. Ze hebben toegang tot netwerkbronnen met behulp van de referenties van het computeraccount, waardoor ze geschikt zijn voor services waarvoor domeintoegang is vereist. Virtuele accounts worden automatisch beheerd en vereisen minimale configuratie.
Verwante inhoud
| Inhoudstype | Verwijzingen |
|---|---|
| Productevaluatie |
Wat is er nieuw voor beheerde serviceaccounts Aan de slag met door groepen beheerde serviceaccounts |
| Implementatie | Windows Server 2012: Door groepen beheerde serviceaccounts - Tech Community- |
| Verwante technologieën |
beveiligingsprinciplen Wat is er nieuw in Active Directory Domain Services |