Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Учетная запись службы — это учетная запись пользователя, созданная явным образом для предоставления контекста безопасности для служб, работающих в операционных системах Windows Server. Контекст безопасности определяет возможность службы получать доступ к локальным и сетевым ресурсам. Операционные системы Windows используют службы для выполнения различных функций. Эти службы можно настроить с помощью приложений, оснастки служб или диспетчера задач или с помощью Windows PowerShell.
В этой статье содержатся сведения о следующих типах учетных записей служб:
- Автономные управляемые учетные записи служб (sMSA)
- Групповые управляемые учетные записи служб (gMSA)
- Делегированные управляемые учетные записи служб (dMSA)
- Virtual accounts
Автономные управляемые учетные записи служб
Управляемые учетные записи служб предназначены для изоляции учетных записей домена в критически важных приложениях, таких как службы IIS. Они устраняют необходимость администратора вручную администрировать имя субъекта-службы (SPN) и учетные данные для учетных записей.
Одну управляемую учетную запись службы можно использовать для служб на одном компьютере. Управляемые учетные записи служб не могут быть общими для нескольких компьютеров. Они также не могут использоваться в кластерах серверов, где служба реплицируется на нескольких узлах кластера. Для этого сценария необходимо использовать групповую управляемую учетную запись службы. Дополнительные сведения см. в обзоре групповых управляемых учетных записей службы.
Помимо повышенной безопасности, предоставляемой с помощью отдельных учетных записей для критически важных служб, существует четыре важных административных преимущества, связанных с управляемыми учетными записями служб:
Вы можете создать класс учетных записей домена, которые можно использовать для управления службами и обслуживания на локальных компьютерах.
В отличие от учетных записей домена, в которых администраторы должны вручную сбрасывать пароли, сетевые пароли для этих учетных записей автоматически сбрасываются.
Чтобы использовать Управляемые учетные записи служб, вам не нужно выполнять сложные задачи управления SPN.
Вы можете делегировать административные задачи для управляемых учетных записей служб неадминиционным учетным записям.
Note
Managed service accounts apply only to the Windows operating systems that are listed in the Applies to list at the beginning of this article.
Групповые управляемые сервисные учетные записи
Управляемые учетные записи групп — это расширение автономных управляемых учетных записей служб. Эти учетные записи — это управляемые учетные записи домена, обеспечивающие автоматическое управление паролями и упрощенное управление именами субъекта-службы, включая делегирование управления другим администраторам.
Управляемая учетная запись службы группы предоставляет те же функции, что и автономная управляемая учетная запись службы в домене, но она расширяет эту функцию на нескольких серверах. При подключении к службе, размещенной на ферме серверов, например балансировке сетевой нагрузки, протоколы проверки подлинности, поддерживающие взаимную проверку подлинности, требуют, чтобы все экземпляры служб использовали один и тот же субъект. При использовании групповых управляемых учетных записей служб в качестве субъектов-служб операционная система Windows Server управляет паролем для учетной записи, не требуя от администратора управления паролем.
Служба распространения ключей Майкрософт (kdssvc.dll) предоставляет механизм безопасного получения последнего ключа или определенного ключа с идентификатором ключа для учетной записи Active Directory (AD). Эта служба появилась в Windows Server 2012, и она не работает в более ранних версиях операционной системы Windows Server. Kdssvc.dll предоставляет общий доступ к секрету, который используется для создания ключей для учетной записи. Эти ключи периодически изменяются. Для управляемой учетной записи службы группы контроллер домена вычисляет пароль для ключа, предоставленного kdssvc.dll, помимо других атрибутов управляемой учетной записи службы группы.
Делегированные управляемые учетные записи услуг
В Windows Server 2025 представлен новый тип учетной записи, называемой делегированной управляемой учетной записью службы (dMSA). Этот тип учетной записи позволяет переходить с традиционных учетных записей служб на учетные записи компьютера, которые имеют управляемые и полностью случайные ключи, а также отключать исходные пароли учетных записей службы. Проверка подлинности для dMSA связана с удостоверением устройства, что означает, что только указанные удостоверения компьютера, сопоставленные в AD, могут получить доступ к учетной записи. С помощью dMSA можно предотвратить общую проблему перехвата учетных данных путем скомпрометированной учетной записи, связанной с традиционными учетными записями служб.
Вы можете создать dMSA как автономную учетную запись или заменить существующую стандартную учетную запись службы. Если существующая учетная запись заменена dMSA, проверка подлинности с помощью пароля старой учетной записи блокируется. Вместо этого запрос перенаправляется в локальный центр безопасности (LSA) для проверки подлинности через dMSA, который имеет доступ к тем же ресурсам, что и предыдущая учетная запись в AD. Дополнительные сведения см. в обзоре делегированных управляемых учетных записей служб.
Virtual accounts
Виртуальные учетные записи управляются локальными учетными записями, упрощающими администрирование служб, предоставляя следующие преимущества:
- Виртуальная учетная запись автоматически управляется.
- Виртуальная учетная запись может получить доступ к сети в среде домена.
- Управление паролями не требуется. Например, если значение по умолчанию используется для учетных записей служб во время установки SQL Server в Windows Server, виртуальная учетная запись, которая использует имя экземпляра в качестве имени службы, устанавливается в формате
NT SERVICE\<SERVICENAME>.
Службы, работающие в качестве виртуальных учетных записей, получают доступ к сетевым ресурсам с помощью учетных данных учетной записи компьютера в формате <domain_name>\<computer_name>$.
Сведения о настройке и использовании учетных записей виртуальных служб см. в разделе "Управляемые учетные записи службы" и "Виртуальные учетные записи".
Note
Virtual accounts apply only to the Windows operating systems that are listed in the Applies to list at the beginning of this article.
Выбор учетной записи службы
Учетные записи служб используются для управления доступом службы к локальным и сетевым ресурсам, и они помогают обеспечить безопасную и безопасную работу службы без предоставления конфиденциальной информации или ресурсов несанкционированным пользователям. В следующей таблице описываются различия между типами учетных записей службы:
| Criterion | sMSA | gMSA | dMSA | Virtual accounts |
|---|---|---|---|---|
| Приложение выполняется на одном сервере | Yes | Yes | Yes | Yes |
| Приложение выполняется на нескольких серверах | No | Yes | No | No |
| Приложение выполняется за подсистемой балансировки нагрузки | No | Yes | No | No |
| Приложения выполняются в Windows Server | Yes | No | No | Yes |
| Требование ограничить учетную запись службы одним сервером | Yes | No | Yes | No |
| Поддерживает учетную запись компьютера, связанную с удостоверением устройства | No | No | Yes | No |
| Использование для сценариев высокой безопасности (предотвращение сбора учетных данных) | No | No | Yes | No |
При выборе учетной записи службы важно учитывать такие факторы, как уровень доступа, необходимый службой, и политики безопасности на сервере. Кроме того, необходимо оценить конкретные потребности запуска приложения или службы.
sMSA: Designed for use on a single computer, sMSAs provide a secure and simplified method for managing SPNs and credentials. Они автоматически управляют паролями и идеально подходят для изоляции учетных записей домена в критически важных приложениях. Однако их нельзя использовать на нескольких серверах или в кластерах серверов.
gMSA: Extend the functionality of sMSAs by supporting multiple servers, making them suitable for server farms and load-balanced applications. Они предлагают автоматическое управление паролями и spN, упрощая административные нагрузки. GMSAs предоставляют единое решение для идентификации, позволяя службам легко проходить проверку подлинности в нескольких экземплярах.
dMSA: Links authentication to specific machine identities, preventing unauthorized access through credential harvesting, allowing for the transition from traditional service accounts with fully randomized and managed keys. DMSAs может заменить существующие традиционные учетные записи служб, гарантируя, что только авторизованные устройства могут получить доступ к конфиденциальным ресурсам.
Virtual accounts: A managed local account that provides a simplified approach to service administration without the need for manual password management. Они могут получить доступ к сетевым ресурсам с помощью учетных данных учетной записи компьютера, что делает их подходящими для служб, которым требуется доступ к домену. Виртуальные учетные записи автоматически управляются и требуют минимальной конфигурации.
Related content
| Content type | References |
|---|---|
| Product evaluation |
Новые возможности управляемых учетных записей служб Начало работы с групповыми управляемыми учетными записями служб |
| Deployment | Windows Server 2012: групповые управляемые учетные записи служб — Tech Community |
| Related technologies |
Security principals Новые возможности доменных служб Active Directory |