Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Notitie
De volgende documentatie is bedoeld voor ontwikkelaars. Als u een eindgebruiker bent die op zoek bent naar informatie over een foutbericht met domeingebruikersaccounts, raadpleegt u de Microsoft-communityforums. Zie TechNet-voor meer informatie over het beheren van domeingebruikersaccounts.
Met een domeingebruikersaccount kan de service volledig profiteren van de servicebeveiligingsfuncties van Windows en Microsoft Active Directory Domain Services. De service heeft dezelfde lokale en netwerktoegang als toegekend aan het account, of aan om het even welke groepen waarvan het account lid is. De service kan wederzijdse Kerberos-verificatie ondersteunen.
Het voordeel van het gebruik van een domeingebruikersaccount is dat de acties van de service worden beperkt door de toegangsrechten en bevoegdheden die aan het account zijn gekoppeld. In tegenstelling tot een LocalSystem-service kunnen bugs in een service voor gebruikersaccounts het systeem niet beschadigen. Als de service wordt aangetast door een beveiligingsaanval, wordt de schade geïsoleerd van de bewerkingen die het systeem toestaat dat het gebruikersaccount kan uitvoeren. Clients die op verschillende bevoegdheidsniveaus worden uitgevoerd, kunnen tegelijkertijd verbinding maken met de service, waardoor de service een client kan imiteren om gevoelige bewerkingen uit te voeren.
Het gebruikersaccount van een service mag geen lid zijn van beheerdersgroepen die lokaal, domein of onderneming zijn. Als uw service lokale beheerdersbevoegdheden nodig heeft, voert u deze uit onder het LocalSystem-account. Voor bewerkingen waarvoor domeinbeheerdersbevoegdheden zijn vereist, moet u deze uitvoeren door de beveiligingscontext van een clienttoepassing te imiteren.
Een service-exemplaar dat gebruikmaakt van een domeingebruikersaccount vereist periodieke beheeractie om het accountwachtwoord te onderhouden. De Service Control Manager (SCM) op de hostcomputer van een service-exemplaar slaat het accountwachtwoord in de cache op voor gebruik om de service op te starten. Wanneer u het accountwachtwoord wijzigt, moet u ook het wachtwoord in de cache bijwerken op de hostcomputer waarop de service is geïnstalleerd. Zie Het wachtwoord voor het gebruikersaccount van een service wijzigenvoor meer informatie en een codevoorbeeld. U kunt het regelmatige onderhoud voorkomen door het wachtwoord ongewijzigd te laten, maar dat zou de kans op een wachtwoordaanval op het serviceaccount vergroten. Houd er rekening mee dat hoewel de SCM het wachtwoord opslaat in een beveiligd deel van het register, het toch wordt aangevallen.
Een domeingebruikersaccount heeft twee naamindelingen: de onderscheiden naam van het gebruikersobject in de directory en de indeling '<domein>\<gebruikersnaam>' die wordt gebruikt door de lokale service control manager. Zie voor meer informatie en een codevoorbeeld voor het converteren van domeinaccountnaamformaten van het ene formaat naar het andere Converting domain account name formats.