Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Hizmet hesabı, Windows Server işletim sistemlerinde çalışan hizmetler için bir güvenlik bağlamı sağlamak üzere açıkça oluşturulan bir kullanıcı hesabıdır. Güvenlik bağlamı, hizmetin yerel kaynaklara ve ağ kaynaklarına erişme becerisini belirler. Windows işletim sistemleri, çeşitli özellikleri çalıştırmak için hizmetlere güvenir. Bu hizmetler uygulamalar, Hizmetler ek bileşeni veya Görev Yöneticisi aracılığıyla ya da Windows PowerShell kullanılarak yapılandırılabilir.
Bu makale, aşağıdaki hizmet hesabı türleri hakkında bilgi içerir:
- Tek Başına Yönetilen Hizmet Hesapları (sMSA)
- Grup Yönetilen Hizmet Hesapları (gMSA)
- Yetkilendirilmiş Yönetilen Hizmet Hesapları (dMSA)
- Virtual accounts
Tek Başına Yönetilen Hizmet Hesapları
Yönetilen Hizmet Hesapları, Internet Information Services (IIS) gibi önemli uygulamalarda etki alanı hesaplarını yalıtmak için tasarlanmıştır. Yöneticinin hizmet sorumlusu adını (SPN) ve hesapların kimlik bilgilerini el ile yönetmesi gereksinimini ortadan kaldırır.
Tek bir bilgisayardaki hizmetler için tek bir Yönetilen Hizmet Hesabı kullanılabilir. Yönetilen Hizmet Hesapları birden çok bilgisayar arasında paylaşılamaz. Ayrıca, bir hizmetin birden çok küme düğümünde çoğaltıldığı sunucu kümelerinde de kullanılamazlar. Bu senaryo için bir grup Yönetilen Hizmet Hesabı kullanmanız gerekir. Daha fazla bilgi için bkz. Grup Yönetilen Hizmet Hesaplarına Genel Bakış.
Kritik hizmetler için tek tek hesapların olmasıyla sağlanan gelişmiş güvenliğe ek olarak, Yönetilen Hizmet Hesapları ile ilişkili dört önemli yönetim avantajı vardır:
Yerel bilgisayarlardaki hizmetleri yönetmek ve sürdürmek için kullanılabilecek bir etki alanı hesapları sınıfı oluşturabilirsiniz.
Yöneticilerin parolaları el ile sıfırlaması gereken etki alanı hesaplarından farklı olarak, bu hesapların ağ parolaları otomatik olarak sıfırlanır.
Yönetilen Hizmet Hesaplarını kullanmak için karmaşık SPN yönetim görevlerini tamamlamanız gerekmez.
Yönetilen Hizmet Hesapları için yönetim görevlerini yönetici olmayan hesaplara devredebilirsiniz.
Note
Managed service accounts apply only to the Windows operating systems that are listed in the Applies to list at the beginning of this article.
Grup Tarafından Yönetilen Hizmet Hesapları
Grup Yönetilen Hizmet Hesapları, tek başına Yönetilen Hizmet Hesaplarının bir uzantısıdır. Bu hesaplar, diğer yöneticilere yönetim temsilcisi seçme de dahil olmak üzere otomatik parola yönetimi ve basitleştirilmiş SPN yönetimi sağlayan yönetilen etki alanı hesaplarıdır.
Grup Tarafından Yönetilen Hizmet Hesabı, etki alanı içindeki tek başına Yönetilen Hizmet Hesabı ile aynı işlevselliği sağlar, ancak bu işlevselliği birden çok sunucuya genişletir. Ağ Yükü Dengeleme gibi bir sunucu grubunda barındırılan bir hizmete bağlanırken, karşılıklı kimlik doğrulamasını destekleyen kimlik doğrulama protokolleri, hizmetlerin tüm örneklerinin aynı sorumluyu kullanmasını gerektirir. Grup Yönetilen Hizmet Hesapları hizmet sorumlusu olarak kullanıldığında, Windows Server işletim sistemi parolayı yönetmek için yöneticiye güvenmek yerine hesabın parolasını yönetir.
Microsoft Anahtar Dağıtım Hizmeti (kdssvc.dll), bir Active Directory (AD) hesabı için en son anahtarı veya anahtar tanımlayıcısı olan belirli bir anahtarı güvenli bir şekilde edinme mekanizmasını sağlar. Bu hizmet Windows Server 2012'de kullanıma sunulmuştur ve Windows Server işletim sisteminin önceki sürümlerinde çalışmaz. Kdssvc.dll, hesap için anahtar oluşturmak için kullanılan bir gizli dizi paylaşır. Bu anahtarlar periyodik olarak değiştirilir. Grup Tarafından Yönetilen Hizmet Hesabı için etki alanı denetleyicisi (DC), grubun Yönetilen Hizmet Hesabı'nın diğer özniteliklerine ek olarak kdssvc.dlltarafından sağlanan anahtardaki parolayı hesaplar.
TemsilciLi Yönetilen Hizmet Hesapları
Windows Server 2025'te temsilci yönetilen hizmet hesabı (dMSA) adlı yeni bir hesap türü kullanıma sunulmuştur. Bu hesap türü, geleneksel hizmet hesaplarından yönetilen ve tamamen rastgele anahtarlara sahip makine hesaplarına geçiş yaparken özgün hizmet hesabı parolalarını da devre dışı bırakmanızı sağlar. dMSA kimlik doğrulaması cihaz kimliğine bağlıdır, yani yalnızca AD'de eşlenen belirtilen makine kimlikleri hesaba erişebilir. dMSA kullanarak, geleneksel hizmet hesaplarıyla ilişkili güvenliği aşılmış bir hesap aracılığıyla kimlik bilgileri toplamanın yaygın sorununu önleyebilirsiniz.
Tek başına bir hesap olarak bir dMSA oluşturabilir veya mevcut standart hizmet hesabını bununla değiştirebilirsiniz. Mevcut bir hesap bir dMSA ile değiştirilirse, eski hesabın parolası aracılığıyla kimlik doğrulaması engellenir. Bunun yerine, istek dMSA aracılığıyla kimlik doğrulaması için Yerel Güvenlik Yetkilisi'ne (LSA) yönlendirilir ve bu da AD'deki önceki hesapla aynı kaynaklara erişim sağlar. Daha fazla bilgi edinmek için bkz. Yönetilen Hizmet Hesaplarına genel bakış.
Virtual accounts
Sanal hesaplar, aşağıdaki avantajları sağlayarak hizmet yönetimini basitleştiren yönetilen yerel hesaplardır:
- Sanal hesap otomatik olarak yönetilir.
- Sanal hesap, bir etki alanı ortamındaki ağa erişebilir.
- Parola yönetimi gerekmez. Örneğin, Windows Server'da
NT SERVICE\<SERVICENAME>
SQL Server kurulumu sırasında hizmet hesapları için varsayılan değer kullanılırsa, hizmet adı olarak örnek adını kullanan bir sanal hesap biçiminde oluşturulur.
Sanal hesap olarak çalışan hizmetler, bilgisayar hesabının kimlik bilgilerini biçiminde <domain_name>\<computer_name>$
kullanarak ağ kaynaklarına erişmektedir.
Sanal hizmet hesaplarının nasıl yapılandırılacağını ve kullanılacağını öğrenmek için bkz: Yönetilen hizmet hesabı ve sanal hesap kavramları.
Note
Virtual accounts apply only to the Windows operating systems that are listed in the Applies to list at the beginning of this article.
Hizmet hesabınızı seçme
Hizmet hesapları, hizmetin yerel ve ağ kaynaklarına erişimini denetlemek için kullanılır ve hizmetin, hassas bilgileri veya kaynakları yetkisiz kullanıcılara ifşa etmeden güvenli ve güvenli bir şekilde çalışabilmesini sağlamaya yardımcı olur. Aşağıdaki tabloda hizmet hesabı türleri arasındaki farklar açıklanmaktadır:
Criterion | sMSA | gMSA | dMSA | Virtual accounts |
---|---|---|---|---|
Uygulama tek bir sunucuda çalışır | Yes | Yes | Yes | Yes |
Uygulama birden çok sunucuda çalışır | No | Yes | No | No |
Uygulama bir yük dengeleyicinin arkasında çalışır | No | Yes | No | No |
Uygulama Windows Server'da çalışıyor | Yes | No | No | Yes |
Hizmet hesabını tek sunucuyla kısıtlama gereksinimi | Yes | No | Yes | No |
Cihaz kimliğine bağlı makine hesabını destekler | No | No | Yes | No |
Yüksek güvenlikli senaryolar için kullanın (kimlik bilgilerinin toplanmasını önleyin) | No | No | Yes | No |
Bir hizmet hesabı seçerken, hizmetin gerektirdiği erişim düzeyi ve sunucuda bulunan güvenlik ilkeleri gibi faktörleri göz önünde bulundurmak önemlidir. Ayrıca çalıştırılmakta olan uygulamanın veya hizmetin belirli gereksinimlerini de değerlendirmelisiniz.
sMSA: Designed for use on a single computer, sMSAs provide a secure and simplified method for managing SPNs and credentials. Parolaları otomatik olarak yönetirler ve kritik uygulamalardaki etki alanı hesaplarını yalıtmak için idealdirler. Ancak, birden çok sunucuda veya sunucu kümelerinde kullanılamazlar.
gMSA: Extend the functionality of sMSAs by supporting multiple servers, making them suitable for server farms and load-balanced applications. Yönetim yüklerini hafifleten otomatik parola ve SPN yönetimi sunarlar. gMSA'lar, hizmetlerin birden çok örnekte sorunsuz bir şekilde kimlik doğrulaması yapmasına olanak tanıyan tek bir kimlik çözümü sağlar.
dMSA: Links authentication to specific machine identities, preventing unauthorized access through credential harvesting, allowing for the transition from traditional service accounts with fully randomized and managed keys. dMSA'lar mevcut geleneksel hizmet hesaplarının yerini alarak yalnızca yetkili cihazların hassas kaynaklara erişebilmesini sağlar.
Virtual accounts: A managed local account that provides a simplified approach to service administration without the need for manual password management. Bilgisayar hesabının kimlik bilgilerini kullanarak ağ kaynaklarına erişebilir ve bu da etki alanı erişimi gerektiren hizmetler için uygun olmasını sağlar. Sanal hesaplar otomatik olarak yönetilir ve minimum yapılandırma gerektirir.
Related content
Content type | References |
---|---|
Product evaluation |
Yönetilen hizmet hesaplarındaki yenilikler Grup Tarafından Yönetilen Hizmet Hesaplarını Kullanmaya Başlama |
Deployment | Windows Server 2012: Grup Tarafından Yönetilen Hizmet Hesapları - Teknoloji Topluluğu |
Related technologies |
Security principals Active Directory Etki Alanı Hizmetleri'ndeki yenilikler |