Contas de serviço
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Uma conta de serviço é uma conta de usuário criada explicitamente para fornecer um contexto de segurança para os serviços em execução nos sistemas operacionais Windows Server. O contexto de segurança determina a capacidade do serviço de acessar recursos locais e de rede. Os sistemas operacionais Windows dependem de serviços para executar vários recursos. Esses serviços podem ser configurados por meio dos aplicativos, do snap-in Serviços ou do Gerenciador de Tarefas ou por meio do Windows PowerShell.
Este artigo contém informações sobre os seguintes tipos de contas de serviço:
Contas de serviços gerenciados autônomas
As contas de serviço gerenciado foram projetadas para isolar contas de domínio em aplicativos críticos, como o IIS (Serviços de Informações da Internet). Elas eliminam a necessidade de um administrador gerenciar manualmente o SPN (nome da entidade de serviço) e as credenciais das contas.
Para usar as contas de serviço gerenciado, o servidor no qual o aplicativo ou o serviço está instalado precisa executar o Windows Server 2008 R2 ou posterior. Uma conta de serviço gerenciado pode ser usada para os serviços de um só computador. As contas de serviço gerenciado não podem ser compartilhadas entre vários computadores e não podem ser usadas em clusters de servidores nos quais um serviço seja replicado para vários nós de cluster. Para esse cenário, você precisa usar uma conta de serviço gerenciado por grupo. Para obter mais informações, confira Visão geral das contas de serviço gerenciado por grupo.
Além da maior segurança proporcionada pelo uso de contas individuais para serviços críticos, há três ou quatro importantes benefícios administrativos associados às contas de serviço gerenciado:
Você pode criar uma classe de contas de domínio que podem ser usadas para gerenciar e manter os serviços em computadores locais.
Ao contrário das contas de domínio nas quais os administradores precisam redefinir as senhas manualmente, as senhas de rede dessas contas são redefinidas automaticamente.
Você não precisa realizar tarefas complexas de gerenciamento de SPN para usar as contas de serviço gerenciado.
Você pode delegar tarefas administrativas para contas de serviço gerenciado para não administradores.
Observação
As contas de serviço gerenciado só se aplicam aos sistemas operacionais Windows listados em "Aplica-se a" no início deste artigo.
Contas de serviços gerenciados por grupo
As contas de serviço gerenciado por grupo são uma extensão das contas de serviço gerenciado autônomas, que foram introduzidas no Windows Server 2008 R2. São contas de domínio gerenciado que fornecem gerenciamento automático de senhas e gerenciamento simplificado de SPN, incluindo delegação de gerenciamento para outros administradores.
Uma conta de serviço gerenciado por grupo fornece a mesma funcionalidade de uma conta de serviço gerenciado autônoma no domínio, mas estende essa funcionalidade para vários servidores. Quando você se conectar a um serviço hospedado em um farm de servidores, como o Balanceamento de Carga de Rede, os protocolos de autenticação que dão suporte à autenticação mútua exigem que todas as instâncias dos serviços usem a mesma entidade de segurança. Quando as contas de serviço gerenciado por grupo são usadas como entidades de serviço, o sistema operacional Windows Server gerencia a senha da conta em vez de depender do administrador para esse gerenciamento.
O Serviço de Distribuição de Chaves da Microsoft (kdssvc.dll) fornece o mecanismo para obter de forma segura a chave mais recente ou uma chave específica com um identificador de chave para uma conta do Active Directory (AD). Esse serviço foi introduzido no Windows Server 2012 e não é executado em versões anteriores do sistema operacional Windows Server. O serviço de distribuição de chaves compartilha um segredo que é usado para criar chaves para a conta. Essas chaves são alteradas periodicamente. Para uma conta de serviço gerenciado por grupo, o controlador de domínio computa a senha na chave fornecida pelo serviço de distribuição de chaves, além de outros atributos da conta de serviço gerenciado por grupo.
Aplicativos práticos gerenciados por grupo
As contas de serviço gerenciado por grupo fornecem uma solução unificada de identidade para os serviços em execução em um farm de servidores ou em sistemas que usam o balanceamento de carga de rede. Ao fornecer uma solução de conta de serviço gerenciado por grupo, os serviços podem ser configurados para a entidade da conta de serviço gerenciado por grupo e o gerenciamento de senhas é feito pelo sistema operacional.
Usando uma conta de serviço gerenciado por grupo, os administradores de serviços não precisam gerenciar a sincronização de senha entre as instâncias de serviço. A conta de serviço gerenciado por grupo dá suporte aos hosts que são mantidos offline por um período extenso e para o gerenciamento de hosts membro de todas as instâncias de um serviço. Esse provisionamento significa que você pode implantar um farm de servidores que dá suporte a uma só identidade na qual os computadores cliente existentes podem se autenticar sem saberem a qual instância do serviço estão se conectando.
Os clusters de failover não dão suporte às contas de serviço gerenciado por grupo. No entanto, os serviços executados no Serviço de cluster poderão usar uma conta de serviço gerenciado por grupo ou uma conta de serviço gerenciado autônoma se forem um serviço Windows, um pool de aplicativos ou uma tarefa agendada ou se derem suporte nativo a contas de serviço gerenciado por grupo ou a contas de serviço gerenciado autônomas.
Requisitos do software gerenciado por grupo
As contas de serviço gerenciado por grupo só podem ser configuradas e administradas em computadores que executam o Windows Server 2012 ou posterior. No entanto, as contas podem ser implantadas como uma solução unificada de identidade de serviço nos domínios que ainda têm controladores de domínio que executam sistemas operacionais anteriores ao Windows Server 2012. Não existem domínios em nível funcional para domínios ou florestas.
Uma arquitetura de 64 bits é necessária para executar os comandos do Windows PowerShell que são usados para administrar as contas de serviço gerenciado por grupo.
Uma conta de serviço gerenciado depende dos tipos de criptografia com suporte do Kerberos. Quando um computador cliente é autenticado em um servidor por meio do protocolo Kerberos, o controlador de domínio cria um tíquete de serviço Kerberos protegido com criptografia ao qual o controlador de domínio e o servidor dão suporte. O controlador de domínio usa o atributo msDS-SupportedEncryptionTypes da conta para determinar a qual criptografia o servidor dá suporte. Se não houver nenhum atributo, ele pressupõe que o computador cliente não oferece suporte a tipos de criptografia mais fortes. A criptografia AES sempre precisa ser configurada para contas de serviço gerenciado. Se os computadores que hospedam a conta de serviço gerenciado estiverem configurados para não dar suporte ao RC4, sempre ocorrerá uma falha na autenticação.
Observação
Introduzido no Windows Server 2008 R2, o DES (Data Encryption Standard) está desabilitado por padrão. As contas de serviço gerenciado por grupo não são aplicáveis nos sistemas operacionais Windows anteriores ao Windows Server 2012.
Para obter mais informações sobre os tipos de criptografia com suporte, consulte Alterações da autenticação do Kerberos.
Contas de serviço gerenciado delegado
Introduzida no Windows Server 2025, agora há suporte para a adição de um novo tipo de conta chamada dMSA (conta de serviço gerenciado) delegada. Esse tipo de conta permite que os usuários façam a transição de contas de serviço tradicionais para contas de computador que tenham chaves gerenciadas e totalmente aleatórias, além de desabilitar as senhas originais da conta de serviço. A autenticação para dMSA está vinculada à identidade do dispositivo, o que significa que apenas identidades de computador especificadas mapeadas no AD podem acessar a conta. Usando o dMSA, os usuários podem evitar o problema comum de coleta de credenciais usando uma conta comprometida associada a contas de serviço tradicionais.
Os usuários têm a opção de criar uma dMSA como uma conta independente ou substituir uma conta de serviço padrão existente por ela. Se uma conta existente for substituída por uma dMSA, a autenticação usando a senha da conta antiga será bloqueada. Em vez disso, a solicitação é redirecionada para a LSA (autoridade de segurança local) para autenticação usando a dMSA, que terá acesso aos mesmos recursos que a conta anterior no AD. Para saber mais, consulte Visão geral de contas de serviço gerenciado delegado.
Contas virtuais
As contas de serviço gerenciado autônomas foram introduzidas no Windows Server 2008 R2 e no Windows 7. São contas locais gerenciadas que simplificam a administração do serviço, oferecendo os seguintes benefícios:
- A conta virtual é gerenciada automaticamente.
- A conta virtual pode acessar a rede em um ambiente de domínio.
- Não há necessidade de gerenciamento de senhas. Por exemplo, se o valor padrão for usado para as contas de serviço durante a instalação do SQL Server no Windows Server 2008 R2, será estabelecida uma conta virtual que usa o nome da instância como o nome do serviço, no formato NT SERVICE\<SERVICENAME>.
Os serviços executados como contas virtuais acessam os recursos de rede usando as credenciais da conta do computador no formato <nome_do_domínio>\<nome_do_computador>$.
Para saber como configurar e usar contas de serviço virtuais, confira Guia passo a passo das contas de serviço.
Observação
As contas virtuais só se aplicam aos sistemas operacionais Windows listados em "Aplica-se a" no início deste artigo.
Confira também
Para ver outros recursos relacionados às contas de serviço gerenciado autônomas, às contas de serviço gerenciado por grupo e às contas virtuais, confira:
| Tipo de conteúdo | Referências |
|---|---|
| Avaliação do produto | Novidades das contas de serviço gerenciado por grupo Introdução às contas de serviço gerenciado por grupo |
| Implantação | Windows Server 2012: Contas de serviço gerenciado por grupo – Plataformas Perguntar à PFE (Engenharia de Campo Premier) – Home page do site – Blogs do TechNet |
| Tecnologias relacionadas | Objetos de segurança Novidades no Active Directory Domain Services |