Использование учетной записи пользователя домена в качестве учетной записи для входа в службу
Примечание.
Следующая документация предназначена для разработчиков. Если вы являетесь конечным пользователем, ищете сведения об сообщении об ошибке с учетом учетных записей пользователей домена, а затем см . форумы сообщества Майкрософт. Сведения об управлении учетными записями пользователей домена см. в статье TechNet.
Учетная запись пользователя домена позволяет службе использовать все преимущества функций безопасности служб Windows и доменных служб Microsoft Active Directory. Служба имеет любой локальный и сетевой доступ, предоставляемый учетной записи, или к любым группам, из которых является участником учетной записи. Служба может поддерживать взаимную проверку подлинности Kerberos.
Преимущество использования учетной записи пользователя домена заключается в том, что действия службы ограничены правами доступа и привилегиями, связанными с учетной записью. В отличие от службы, ошибки в службе учетной LocalSystem записи пользователя не могут повредить системе. Если служба скомпрометирована атакой безопасности, то ущерб изолирован от операций, которые система позволяет учетной записи пользователя выполнять. В то же время клиенты, работающие на разных уровнях привилегий, могут подключаться к службе, что позволяет службе олицетворить клиента выполнять конфиденциальные операции.
Учетная запись пользователя службы не должна быть членом каких-либо групп администраторов, которые являются локальными, доменными или корпоративными. Если служба нуждается в правах локального администратора, запустите ее под учетной записью LocalSystem . Для операций, требующих прав администратора домена, выполните их путем олицетворения контекста безопасности клиентского приложения.
Экземпляр службы, использующий учетную запись пользователя домена, требует периодического административного действия для поддержания пароля учетной записи. Диспетчер управления службами (SCM) на хост-компьютере экземпляра службы кэширует пароль учетной записи для использования при входе в службу. При изменении пароля учетной записи необходимо также обновить кэшированный пароль на хост-компьютере, где установлена служба. Дополнительные сведения и пример кода см. в разделе "Изменение пароля" учетной записи пользователя службы. Вы можете избежать регулярного обслуживания, оставив пароль без изменений, но это приведет к увеличению вероятности атаки паролей на учетную запись службы. Помните, что даже если SCM хранит пароль в безопасной части реестра, она, тем не менее, подвергается атаке.
Учетная запись пользователя домена имеет два формата имен: различающееся имя объекта пользователя в каталоге и формат "<domain>\<username>", используемый локальным диспетчером управления службами. Дополнительные сведения и пример кода, который преобразуется из одного формата в другой, см. в разделе "Преобразование форматов имени учетной записи домена".
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по