учетные записи служб;
Учетная запись службы — это учетная запись пользователя, созданная явным образом для предоставления контекста безопасности для служб, работающих в операционных системах Windows Server. Контекст безопасности определяет возможность службы получать доступ к локальным и сетевым ресурсам. Операционные системы Windows используют службы для выполнения различных функций. Эти службы можно настроить с помощью приложений, оснастки служб или диспетчера задач или с помощью Windows PowerShell.
В этой статье содержатся сведения о следующих типах учетных записей служб:
- Автономные управляемые учетные записи службы
- Группы управляемых учетных записей служб
- Делегированные управляемые учетные записи служб
- Виртуальные учетные записи
Изолированные управляемые учетные записи служб
Управляемые учетные записи служб предназначены для изоляции учетных записей домена в критически важных приложениях, таких как службы IIS (IIS). Они устраняют необходимость администратора вручную администрировать имя субъекта-службы (SPN) и учетные данные для учетных записей.
Чтобы использовать управляемые учетные записи служб, сервер, на котором установлено приложение или служба, должен работать под управлением Windows Server 2008 R2 или более поздней версии. Одну управляемую учетную запись службы можно использовать для служб на одном компьютере. Управляемые учетные записи служб нельзя совместно использовать между несколькими компьютерами, и их нельзя использовать в кластерах серверов, где служба реплицируется на нескольких узлах кластера. Для этого сценария необходимо использовать управляемую группой учетную запись службы. Дополнительные сведения см. в обзоре групповых управляемых учетных записей службы.
Помимо повышенной безопасности, предоставляемой отдельными учетными записями для критически важных служб, существует четыре важных административных преимущества, связанных с управляемыми учетными записями служб:
Вы можете создать класс учетных записей домена, которые можно использовать для управления службами и обслуживания на локальных компьютерах.
В отличие от учетных записей домена, в которых администраторы должны вручную сбрасывать пароли, сетевые пароли для этих учетных записей автоматически сбрасываются.
Для использования управляемых учетных записей служб вам не нужно выполнять сложные задачи управления spN.
Вы можете делегировать административные задачи для управляемых учетных записей служб неадминиционным учетным записям.
Примечание.
Управляемые учетные записи служб применяются только к операционным системам Windows, перечисленным в разделе "Применимо" в начале этой статьи.
Группы управляемых учетных записей служб
Учетные записи управляемых групп — это расширение автономных управляемых учетных записей служб, которые появились в Windows Server 2008 R2. Эти учетные записи — это управляемые учетные записи домена, обеспечивающие автоматическое управление паролями и упрощенное управление именами субъекта-службы, включая делегирование управления другим администраторам.
Учетная запись управляемой группы предоставляет те же функции, что и автономная управляемая учетная запись службы в домене, но она расширяет эту функцию по нескольким серверам. При подключении к службе, размещенной на ферме серверов, например балансировке сетевой нагрузки, протоколы проверки подлинности, поддерживающие взаимную проверку подлинности, требуют, чтобы все экземпляры служб использовали один и тот же субъект. Если учетные записи управляемых групп используются в качестве субъектов-служб, операционная система Windows Server управляет паролем учетной записи вместо того, чтобы полагаться на администратора на управление паролем.
Служба распространения ключей Майкрософт (kdssvc.dll) предоставляет механизм безопасного получения последнего ключа или определенного ключа с идентификатором ключа для учетной записи Active Directory (AD). Эта служба появилась в Windows Server 2012, и она не работает в более ранних версиях операционной системы Windows Server. Kdssvc.dll предоставляет общий доступ к секрету, который используется для создания ключей для учетной записи. Эти ключи периодически изменяются. Для учетной записи службы, управляемой группой, контроллер домена вычисляет пароль для ключа, предоставленного kdssvc.dll, помимо других атрибутов управляемой группы учетной записи службы.
Делегированные управляемые учетные записи служб
В Windows Server 2025 появилась новая учетная запись, называемая делегированной управляемой учетной записью службы (dMSA). Этот тип учетной записи позволяет пользователям переходить с традиционных учетных записей служб на учетные записи компьютеров, которые имеют управляемые и полностью случайные ключи, а также отключать пароли исходных учетных записей службы. Проверка подлинности для dMSA связана с удостоверением устройства, что означает, что только указанные удостоверения компьютера, сопоставленные в AD, могут получить доступ к учетной записи. С помощью dMSA пользователи могут предотвратить общую проблему сбора учетных данных с помощью скомпрометированных учетных записей, связанных с традиционными учетными записями служб.
У пользователей есть возможность создать dMSA в качестве автономной учетной записи или заменить существующую стандартную учетную запись службы на нее. Если существующая учетная запись заменена dMSA, проверка подлинности с помощью пароля старой учетной записи блокируется. Вместо этого запрос перенаправляется в локальный центр безопасности (LSA) для проверки подлинности с помощью dMSA, который будет иметь доступ к тем же ресурсам, что и предыдущая учетная запись в AD. Дополнительные сведения см. в обзоре делегированных управляемых учетных записей служб.
Виртуальные учетные записи
Виртуальные учетные записи появились в Windows Server 2008 R2 и Windows 7. Они управляются локальными учетными записями, упрощающими администрирование служб, предоставляя следующие преимущества:
- Виртуальная учетная запись автоматически управляется.
- Виртуальная учетная запись может получить доступ к сети в среде домена.
- Управление паролями не требуется. Например, если значение по умолчанию используется для учетных записей служб во время установки SQL Server в Windows Server 2008 R2, виртуальная учетная запись, которая использует имя экземпляра в качестве имени службы, устанавливается в формате
NT SERVICE\<SERVICENAME>
.
Службы, которые работают в виде виртуальных учетных записей, получают доступ к сетевым ресурсам с помощью учетных данных учетной записи компьютера в формате <domain_name>\<computer_name>$
.
Сведения о настройке и использовании учетных записей виртуальных служб см. в разделе "Управляемые учетные записи службы" и "Виртуальные учетные записи".
Примечание.
Виртуальные учетные записи применяются только к операционным системам Windows, перечисленным в разделе "Применимо к" в начале этой статьи.
Выбор учетной записи службы
Учетные записи служб используются для управления доступом службы к локальным и сетевым ресурсам, и они помогают обеспечить безопасную и безопасную работу службы без предоставления конфиденциальной информации или ресурсов несанкционированным пользователям. Чтобы просмотреть различия между типами учетных записей служб, ознакомьтесь с таблицей сравнения:
Критерий | sMSA | gMSA | dMSA | Виртуальные учетные записи |
---|---|---|---|---|
Приложение выполняется на одном сервере | Да | Да | Да | Да |
Приложение выполняется на нескольких серверах | No | Да | No | No |
Приложение выполняется за подсистемой балансировки нагрузки | No | Да | No | No |
Приложение работает в Windows Server 2008 R2 и более поздних версиях | Да | No | No | Да |
Требование ограничить учетную запись службы одним сервером | Да | No | Да | Нет |
Поддерживает учетную запись компьютера, связанную с удостоверением устройства | No | No | Да | Нет |
Использование для сценариев высокой безопасности (предотвращение сбора учетных данных) | No | No | Да | Нет |
При выборе учетной записи службы важно учитывать такие факторы, как уровень доступа, необходимый службой, политики безопасности, размещенные на сервере, и конкретные потребности запускаемого приложения или службы.
sMSA: предназначен для использования на одном компьютере, SMSAs предоставляют безопасный и упрощенный метод для управления именами субъектов-служб и учетными данными. Они автоматически управляют паролями и идеально подходят для изоляции учетных записей домена в критически важных приложениях. Однако их нельзя использовать на нескольких серверах или в кластерах серверов.
gMSA: расширьте функциональные возможности SMSAs путем поддержки нескольких серверов, что делает их подходящими для ферм серверов и приложений с балансировкой нагрузки. Они предлагают автоматическое управление паролями и spN, упрощая административные нагрузки. GMSAs предоставляют единое решение для идентификации, позволяя службам легко проходить проверку подлинности в нескольких экземплярах.
dMSA: связывает проверку подлинности с определенными удостоверениями компьютера, предотвращая несанкционированный доступ с помощью сбора учетных данных, что позволяет переходить с традиционных учетных записей служб с полностью случайными и управляемыми ключами. DMSAs может заменить существующие традиционные учетные записи служб, гарантируя, что только авторизованные устройства могут получить доступ к конфиденциальным ресурсам.
Виртуальные учетные записи: управляемая локальная учетная запись, которая обеспечивает упрощенный подход к администрированию служб без необходимости ручного управления паролями. Они могут получить доступ к сетевым ресурсам с помощью учетных данных учетной записи компьютера, что делает их подходящими для служб, которым требуется доступ к домену. Виртуальные учетные записи автоматически управляются и требуют минимальной конфигурации.
См. также
Content type | Ссылки |
---|---|
Оценка продукта | Новые возможности управляемых учетных записей служб Начало работы с групповыми управляемыми учетными записями служб |
Развертывание | Windows Server 2012: групповые управляемые учетные записи служб — Tech Community |
Связанные технологии | Субъекты безопасности Новые возможности доменных служб Active Directory |