Compartilhar via


Contas de serviço

Uma conta de serviço é uma conta de usuário criada explicitamente para fornecer um contexto de segurança para os serviços em execução nos sistemas operacionais Windows Server. O contexto de segurança determina a capacidade do serviço de acessar recursos locais e de rede. Os sistemas operacionais Windows dependem de serviços para executar vários recursos. Esses serviços podem ser configurados por meio dos aplicativos, do snap-in Serviços ou do Gerenciador de Tarefas ou por meio do Windows PowerShell.

Este artigo contém informações sobre os seguintes tipos de contas de serviço:

Contas de serviços gerenciados autônomas

As contas de serviço gerenciado foram projetadas para isolar contas de domínio em aplicativos críticos, como o IIS (Serviços de Informações da Internet). Elas eliminam a necessidade de um administrador gerenciar manualmente o SPN (nome da entidade de serviço) e as credenciais das contas.

Para usar as contas de serviço gerenciado, o servidor no qual o aplicativo ou o serviço está instalado precisa executar o Windows Server 2008 R2 ou posterior. Uma conta de serviço gerenciado pode ser usada para os serviços de um só computador. As contas de serviço gerenciado não podem ser compartilhadas entre vários computadores e não podem ser usadas em clusters de servidores nos quais um serviço seja replicado para vários nós de cluster. Para esse cenário, você precisa usar uma conta de serviço gerenciado por grupo. Para saber mais, confira Visão geral das Contas de Serviço Gerenciado em Grupo.

Além da maior segurança proporcionada pelo uso de contas individuais para serviços críticos, há três ou quatro importantes benefícios administrativos associados às contas de serviço gerenciado:

  • Você pode criar uma classe de contas de domínio que podem ser usadas para gerenciar e manter os serviços em computadores locais.

  • Ao contrário das contas de domínio nas quais os administradores precisam redefinir as senhas manualmente, as senhas de rede dessas contas são redefinidas automaticamente.

  • Você não precisa realizar tarefas complexas de gerenciamento de SPN para usar as contas de serviço gerenciado.

  • Você pode delegar tarefas administrativas para contas de serviço gerenciado para contas de não administradores.

Observação

As contas de serviço gerenciado só se aplicam aos sistemas operacionais Windows listados em Aplica-se a no início deste artigo..

Contas de serviços gerenciados por grupo

As contas de serviço gerenciado por grupo são uma extensão das contas de serviço gerenciado autônomas, que foram introduzidas no Windows Server 2008 R2. São contas de domínio gerenciado que fornecem gerenciamento automático de senhas e gerenciamento simplificado de SPN, incluindo delegação de gerenciamento para outros administradores.

Uma conta de serviço gerenciado por grupo fornece a mesma funcionalidade de uma conta de serviço gerenciado autônoma no domínio, mas estende essa funcionalidade para vários servidores. Quando você se conectar a um serviço hospedado em um farm de servidores, como o Balanceamento de Carga de Rede, os protocolos de autenticação que dão suporte à autenticação mútua exigem que todas as instâncias dos serviços usem a mesma entidade de segurança. Quando as contas de serviço gerenciado por grupo são usadas como entidades de serviço, o sistema operacional Windows Server gerencia a senha da conta em vez de depender do administrador para esse gerenciamento.

O Serviço de Distribuição de Chaves da Microsoft (kdssvc.dll) fornece o mecanismo para obter de forma segura a chave mais recente ou uma chave específica com um identificador de chave para uma conta do Active Directory (AD). Esse serviço foi introduzido no Windows Server 2012 e não é executado em versões anteriores do sistema operacional Windows Server. Kdssvc.dll compartilha um segredo, que é usado para criar chaves para a conta. Essas chaves são alteradas periodicamente. Para uma conta de serviço gerenciada por grupo, o controlador de domínio (DC) calcula a senha na chave fornecida por kdssvc.dll, além de outros atributos da conta de serviço gerenciada por grupo.

Contas de serviço gerenciado delegado

A adição de um novo tipo de conta chamada Conta de Serviço Gerenciado Delegada (dMSA) foi introduzida no Windows Server 2025. Esse tipo de conta permite que os usuários façam a transição de contas de serviço tradicionais para contas de computador que tenham chaves gerenciadas e totalmente aleatórias, além de desabilitar as senhas originais da conta de serviço. A autenticação para dMSA está vinculada à identidade do dispositivo, o que significa que apenas identidades de computador especificadas mapeadas no AD podem acessar a conta. Usando o dMSA, os usuários podem evitar o problema comum de coleta de credenciais usando uma conta comprometida associada a contas de serviço tradicionais.

Os usuários têm a opção de criar uma dMSA como uma conta independente ou substituir uma conta de serviço padrão existente por ela. Se uma conta existente for substituída por uma dMSA, a autenticação usando a senha da conta antiga será bloqueada. Em vez disso, a solicitação é redirecionada para a LSA (autoridade de segurança local) para autenticação usando a dMSA, que terá acesso aos mesmos recursos que a conta anterior no AD. Para saber mais, consulte Visão geral de contas de serviço gerenciado delegado.

Contas virtuais

As contas de serviço gerenciado autônomas foram introduzidas no Windows Server 2008 R2 e no Windows 7. São contas locais gerenciadas que simplificam a administração do serviço, oferecendo os seguintes benefícios:

  • A conta virtual é gerenciada automaticamente.
  • A conta virtual pode acessar a rede em um ambiente de domínio.
  • Não há necessidade de gerenciamento de senhas. Por exemplo, se o valor padrão for usado para as contas de serviço durante a instalação do SQL Server no Windows Server 2008 R2, será estabelecida uma conta virtual que usa o nome da instância como o nome do serviço, no formato NT SERVICE\<SERVICENAME>.

Os serviços executados como contas virtuais acessam recursos de rede usando as credenciais da conta do computador no formato <domain_name>\<computer_name>$.

Para saber como configurar e usar contas de serviço virtual, consulte Conceitos de conta de serviço gerenciado e conta virtual.

Observação

As contas virtuais só se aplicam aos sistemas operacionais Windows listados em "Aplica-se a" no início deste artigo.

Escolhendo sua conta de serviço

As contas de serviço são usadas para controlar o acesso do serviço a recursos locais e de rede e ajudam a garantir que o serviço possa operar com segurança sem expor informações ou recursos confidenciais a usuários não autorizados. Para ver as diferenças entre os tipos de conta de serviço, consulte nossa tabela de comparação:

Critério sMSA gMSA dMSA Contas virtuais
O aplicativo é executado em um único servidor Sim Sim Sim Sim
O aplicativo é executado em vários servidores Não Sim Não No
O aplicativo é executado atrás de um balanceador de carga Não Sim Não No
O aplicativo é executado no Windows Server 2008 R2 e posterior Sim Não No Sim
Requisito para restringir a conta de serviço a um servidor único Sim Não Sim No
Suporta conta de computador vinculada à identidade do dispositivo Não No Sim No
Use para cenários de alta segurança (impedir a coleta de credenciais) Não No Sim No

Ao escolher uma conta de serviço, é importante considerar fatores como o nível de acesso exigido pelo serviço, as políticas de segurança em vigor no servidor e as necessidades específicas do aplicativo ou serviço que está sendo executado.

  • sMSA: projetados para uso em um único computador, os sMSAs fornecem um método seguro e simplificado para gerenciar SPNs e credenciais. Eles gerenciam senhas automaticamente e são ideais para isolar contas de domínio em aplicativos críticos. No entanto, eles não podem ser usados em vários servidores ou em clusters de servidores.

  • gMSA: estenda a funcionalidade dos sMSAs dando suporte a vários servidores, tornando-os adequados para farms de servidores e aplicativos com balanceamento de carga. Eles oferecem gerenciamento automático de senhas e SPN, aliviando os encargos administrativos. As gMSAs fornecem uma única solução de identidade, permitindo que os serviços sejam autenticados em várias instâncias sem problemas.

  • dMSA: vincula a autenticação a identidades de máquina específicas, impedindo o acesso não autorizado por meio da coleta de credenciais, permitindo a transição de contas de serviço tradicionais com chaves totalmente aleatórias e gerenciadas. As dMSAs podem substituir as contas de serviço tradicionais existentes, garantindo que apenas dispositivos autorizados possam acessar recursos confidenciais.

  • Contas virtuais: uma conta local gerenciada que fornece uma abordagem simplificada para a administração do serviço sem a necessidade de gerenciamento manual de senhas. Eles podem acessar recursos de rede usando as credenciais da conta do computador, tornando-os adequados para serviços que exigem acesso ao domínio. As contas virtuais são gerenciadas automaticamente e exigem configuração mínima.

Confira também

Tipo de conteúdo Referências
Avaliação do produto What's New for Managed Service Accounts
Introdução às contas de serviço gerenciado por grupo
Implantação Windows Server 2012: Contas de Serviço Gerenciado por Grupo - Tech Community
Tecnologias relacionadas Objetos de segurança
Novidades no Active Directory Domain Services