Sobre contas de logon de serviço

  • Artigo

Quando um serviço baseado em Win32 é iniciado, ele faz logon no computador local. Ele pode fazer logon como:

  • Uma conta de usuário local ou de domínio.
  • A conta LocalSystem.

A conta de logon determina a identidade de segurança do serviço em tempo de execução, ou seja, o contexto de segurança principal do serviço. O contexto de segurança determina a capacidade do serviço de acessar recursos locais e de rede. Por exemplo, um serviço em execução no contexto de segurança de uma conta de usuário local não pode acessar recursos de rede. Por outro lado, um serviço em execução no contexto de segurança da conta LocalSystem em um controlador de domínio (DC) do Windows 2000 teria acesso irrestrito ao DC. Para obter mais informações e uma discussão sobre os benefícios e limitações entre contas de usuário e LocalSystem, consulte Contextos de segurança e Serviços de Domínio Active Directory.

Em última análise, os administradores no sistema onde o serviço está instalado têm controle sobre a conta de logon do serviço. Por motivos de segurança, alguns administradores podem não permitir que você instale o serviço na conta LocalSystem. Seu serviço deve ser capaz de ser executado em uma conta de usuário de domínio. Como programador, você pode exercer algum controle sobre a conta de logon do serviço. O instalador do serviço especifica a conta de logon do serviço quando chama a função CreateService para instalar o serviço em um computador host. O instalador pode sugerir uma conta de logon padrão, mas deve permitir que um administrador especifique a conta real.

O instalador também pode executar as seguintes tarefas relacionadas à conta de logon do serviço:

  • Instalação. Se instalar o serviço para ser executado em uma conta de usuário, a conta deverá existir antes de você chamar CreateService. Você pode usar uma conta existente ou criar uma como parte do instalador do computador host. Para obter mais informações, consulte Configurando a conta de usuário de um serviço.
  • Autenticação. Se desejar que os clientes usem a autenticação mútua Kerberos, registre os SPNs na conta de logon do serviço. Se o serviço for executado na conta LocalSystem, a conta de logon do serviço será a conta de computador do computador host. Para saber mais, confira Service Principal Names (Nomes da entidade de serviço).
  • Conceder acesso. Certifique-se de que o serviço em tempo de execução tenha os direitos e privilégios de acesso necessários para executar suas tarefas. Isso pode exigir a configuração de entradas de controle de acesso (ACEs) nos descritores de segurança de vários recursos, ou seja, objetos de diretório, compartilhamentos de arquivos e assim por diante, para permitir os direitos de acesso necessários à conta de usuário ou computador. Para obter mais informações, consulte Concedendo direitos de acesso à conta de logon do serviço.
  • Definir privilégios. Atribua privilégios à conta de logon especificada, como o direito de fazer logon como um serviço no computador host. Para obter mais informações, consulte Concedendo logon como direito de serviço no computador host.

Depois que um serviço é instalado, há tarefas de manutenção relacionadas à sua conta de logon de serviço. Para obter mais informações, consulte Tarefas de manutenção da conta de logon.

  • Manutenção de senha. Para um serviço executado em uma conta de usuário, você deve alterar periodicamente a senha e manter a senha sincronizada com a senha usada por um ou mais gerentes de controle de serviço local para iniciar o serviço.
  • Manutenção do SPN. Se uma conta de logon de serviço for alterada, remova os SPNs registrados na conta antiga e registre-os na nova conta. Lembre-se de que, quando um serviço é instalado, um administrador de domínio pode alterar a conta sob a qual o serviço é executado; use funções Win32 ou a interface do usuário da ferramenta administrativa Gerenciamento do computador.
  • Manutenção ACE. Se uma conta de logon de serviço for alterada, você precisará atualizar ACEs e associações de grupo para garantir que o serviço ainda possa acessar os recursos necessários.