Aracılığıyla paylaş


Hizmet hesapları

Hizmet hesabı, Windows Server işletim sistemlerinde çalışan hizmetler için bir güvenlik bağlamı sağlamak üzere açıkça oluşturulan bir kullanıcı hesabıdır. Güvenlik bağlamı, hizmetin yerel kaynaklara ve ağ kaynaklarına erişme becerisini belirler. Windows işletim sistemleri, çeşitli özellikleri çalıştırmak için hizmetlere güvenir. Bu hizmetler uygulamalar, Hizmetler ek bileşeni veya Görev Yöneticisi aracılığıyla ya da Windows PowerShell kullanılarak yapılandırılabilir.

Bu makale, aşağıdaki hizmet hesabı türleri hakkında bilgi içerir:

Tek Başına Yönetilen Hizmet Hesapları

Yönetilen Hizmet Hesapları, Internet Information Services (IIS) gibi önemli uygulamalarda etki alanı hesaplarını yalıtmak için tasarlanmıştır. Yöneticinin hizmet sorumlusu adını (SPN) ve hesapların kimlik bilgilerini el ile yönetmesi gereksinimini ortadan kaldırır.

Tek bir bilgisayardaki hizmetler için tek bir Yönetilen Hizmet Hesabı kullanılabilir. Yönetilen Hizmet Hesapları birden çok bilgisayar arasında paylaşılamaz. Ayrıca, bir hizmetin birden çok küme düğümünde çoğaltıldığı sunucu kümelerinde de kullanılamazlar. Bu senaryo için bir grup Yönetilen Hizmet Hesabı kullanmanız gerekir. Daha fazla bilgi için bkz. Grup Yönetilen Hizmet Hesaplarına Genel Bakış.

Kritik hizmetler için tek tek hesapların olmasıyla sağlanan gelişmiş güvenliğe ek olarak, Yönetilen Hizmet Hesapları ile ilişkili dört önemli yönetim avantajı vardır:

  • Yerel bilgisayarlardaki hizmetleri yönetmek ve sürdürmek için kullanılabilecek bir etki alanı hesapları sınıfı oluşturabilirsiniz.

  • Yöneticilerin parolaları el ile sıfırlaması gereken etki alanı hesaplarından farklı olarak, bu hesapların ağ parolaları otomatik olarak sıfırlanır.

  • Yönetilen Hizmet Hesaplarını kullanmak için karmaşık SPN yönetim görevlerini tamamlamanız gerekmez.

  • Yönetilen Hizmet Hesapları için yönetim görevlerini yönetici olmayan hesaplara devredebilirsiniz.

Uyarı

Yönetilen hizmet hesapları yalnızca bu makalenin başındaki Aşağıdakiler listesinde listelenen Windows işletim sistemleri için geçerlidir.

Grup Tarafından Yönetilen Hizmet Hesapları

Grup Yönetilen Hizmet Hesapları, tek başına Yönetilen Hizmet Hesaplarının bir uzantısıdır. Bu hesaplar, diğer yöneticilere yönetim temsilcisi seçme de dahil olmak üzere otomatik parola yönetimi ve basitleştirilmiş SPN yönetimi sağlayan yönetilen etki alanı hesaplarıdır.

Grup Tarafından Yönetilen Hizmet Hesabı, etki alanı içindeki tek başına Yönetilen Hizmet Hesabı ile aynı işlevselliği sağlar, ancak bu işlevselliği birden çok sunucuya genişletir. Ağ Yükü Dengeleme gibi bir sunucu grubunda barındırılan bir hizmete bağlanırken, karşılıklı kimlik doğrulamasını destekleyen kimlik doğrulama protokolleri, hizmetlerin tüm örneklerinin aynı sorumluyu kullanmasını gerektirir. Grup Yönetilen Hizmet Hesapları hizmet sorumlusu olarak kullanıldığında, Windows Server işletim sistemi parolayı yönetmek için yöneticiye güvenmek yerine hesabın parolasını yönetir.

Microsoft Anahtar Dağıtım Hizmeti (kdssvc.dll), bir Active Directory (AD) hesabı için en son anahtarı veya anahtar tanımlayıcısı olan belirli bir anahtarı güvenli bir şekilde edinme mekanizmasını sağlar. Bu hizmet Windows Server 2012'de kullanıma sunulmuştur ve Windows Server işletim sisteminin önceki sürümlerinde çalışmaz. Kdssvc.dll, hesap için anahtar oluşturmak için kullanılan bir gizli dizi paylaşır. Bu anahtarlar periyodik olarak değiştirilir. Grup Tarafından Yönetilen Hizmet Hesabı için etki alanı denetleyicisi (DC), grubun Yönetilen Hizmet Hesabı'nın diğer özniteliklerine ek olarak kdssvc.dlltarafından sağlanan anahtardaki parolayı hesaplar.

TemsilciLi Yönetilen Hizmet Hesapları

Windows Server 2025'te temsilci yönetilen hizmet hesabı (dMSA) adlı yeni bir hesap türü kullanıma sunulmuştur. Bu hesap türü, geleneksel hizmet hesaplarından yönetilen ve tamamen rastgele anahtarlara sahip makine hesaplarına geçiş yaparken özgün hizmet hesabı parolalarını da devre dışı bırakmanızı sağlar. dMSA kimlik doğrulaması cihaz kimliğine bağlıdır, yani yalnızca AD'de eşlenen belirtilen makine kimlikleri hesaba erişebilir. dMSA kullanarak, geleneksel hizmet hesaplarıyla ilişkili güvenliği aşılmış bir hesap aracılığıyla kimlik bilgileri toplamanın yaygın sorununu önleyebilirsiniz.

Tek başına bir hesap olarak bir dMSA oluşturabilir veya mevcut standart hizmet hesabını bununla değiştirebilirsiniz. Mevcut bir hesap bir dMSA ile değiştirilirse, eski hesabın parolası aracılığıyla kimlik doğrulaması engellenir. Bunun yerine, istek dMSA aracılığıyla kimlik doğrulaması için Yerel Güvenlik Yetkilisi'ne (LSA) yönlendirilir ve bu da AD'deki önceki hesapla aynı kaynaklara erişim sağlar. Daha fazla bilgi edinmek için bkz. Yönetilen Hizmet Hesaplarına genel bakış.

Sanal hesaplar

Sanal hesaplar, aşağıdaki avantajları sağlayarak hizmet yönetimini basitleştiren yönetilen yerel hesaplardır:

  • Sanal hesap otomatik olarak yönetilir.
  • Sanal hesap, bir etki alanı ortamındaki ağa erişebilir.
  • Parola yönetimi gerekmez. Örneğin, Windows Server'da NT SERVICE\<SERVICENAME>SQL Server kurulumu sırasında hizmet hesapları için varsayılan değer kullanılırsa, hizmet adı olarak örnek adını kullanan bir sanal hesap biçiminde oluşturulur.

Sanal hesap olarak çalışan hizmetler, bilgisayar hesabının kimlik bilgilerini biçiminde <domain_name>\<computer_name>$kullanarak ağ kaynaklarına erişmektedir.

Sanal hizmet hesaplarının nasıl yapılandırılacağını ve kullanılacağını öğrenmek için bkz: Yönetilen hizmet hesabı ve sanal hesap kavramları.

Uyarı

Sanal hesaplar yalnızca bu makalenin başındaki Aşağıdakiler listesinde listelenen Windows işletim sistemleri için geçerlidir.

Hizmet hesabınızı seçme

Hizmet hesapları, hizmetin yerel ve ağ kaynaklarına erişimini denetlemek için kullanılır ve hizmetin, hassas bilgileri veya kaynakları yetkisiz kullanıcılara ifşa etmeden güvenli ve güvenli bir şekilde çalışabilmesini sağlamaya yardımcı olur. Aşağıdaki tabloda hizmet hesabı türleri arasındaki farklar açıklanmaktadır:

Kriter sMSA (İngilizce) gMSA (İngilizce) dMSA (İngilizce) Sanal hesaplar
Uygulama tek bir sunucuda çalışır Evet Evet Evet Evet
Uygulama birden çok sunucuda çalışır Hayı Evet Hayı Hayı
Uygulama bir yük dengeleyicinin arkasında çalışır Hayı Evet Hayı Hayı
Uygulama Windows Server'da çalışıyor Evet Hayı Hayı Evet
Hizmet hesabını tek sunucuyla kısıtlama gereksinimi Evet Hayı Evet Hayı
Cihaz kimliğine bağlı makine hesabını destekler Hayı Hayı Evet Hayı
Yüksek güvenlikli senaryolar için kullanın (kimlik bilgilerinin toplanmasını önleyin) Hayı Hayı Evet Hayı

Bir hizmet hesabı seçerken, hizmetin gerektirdiği erişim düzeyi ve sunucuda bulunan güvenlik ilkeleri gibi faktörleri göz önünde bulundurmak önemlidir. Ayrıca çalıştırılmakta olan uygulamanın veya hizmetin belirli gereksinimlerini de değerlendirmelisiniz.

  • sMSA: Tek bir bilgisayarda kullanılmak üzere tasarlanan sMSA'lar, SPN'leri ve kimlik bilgilerini yönetmek için güvenli ve basitleştirilmiş bir yöntem sağlar. Parolaları otomatik olarak yönetirler ve kritik uygulamalardaki etki alanı hesaplarını yalıtmak için idealdirler. Ancak, birden çok sunucuda veya sunucu kümelerinde kullanılamazlar.

  • gMSA: Birden çok sunucuyu destekleyerek sMSA'ların işlevselliğini genişletin, bu da onları sunucu çiftlikleri ve yük dengeli uygulamalar için uygun hale getirir. Yönetim yüklerini hafifleten otomatik parola ve SPN yönetimi sunarlar. gMSA'lar, hizmetlerin birden çok örnekte sorunsuz bir şekilde kimlik doğrulaması yapmasına olanak tanıyan tek bir kimlik çözümü sağlar.

  • dMSA: Kimlik doğrulamasını belirli makine kimliklerine bağlayarak kimlik bilgisi toplama yoluyla yetkisiz erişimi önler ve tamamen rastgele ve yönetilen anahtarlara sahip geleneksel hizmet hesaplarından geçişe olanak tanır. dMSA'lar mevcut geleneksel hizmet hesaplarının yerini alarak yalnızca yetkili cihazların hassas kaynaklara erişebilmesini sağlar.

  • Sanal hesaplar: Manuel parola yönetimine gerek kalmadan hizmet yönetimine basitleştirilmiş bir yaklaşım sağlayan, yönetilen bir yerel hesap. Bilgisayar hesabının kimlik bilgilerini kullanarak ağ kaynaklarına erişebilir ve bu da etki alanı erişimi gerektiren hizmetler için uygun olmasını sağlar. Sanal hesaplar otomatik olarak yönetilir ve minimum yapılandırma gerektirir.

İçerik türü Kaynaklar
Ürün değerlendirmesi Yönetilen hizmet hesaplarındaki yenilikler
Grup Tarafından Yönetilen Hizmet Hesaplarını Kullanmaya Başlama
Dağıtım Windows Server 2012: Grup Tarafından Yönetilen Hizmet Hesapları - Teknoloji Topluluğu
İlgili teknolojiler Güvenlik sorumluları
Active Directory Etki Alanı Hizmetleri'ndeki yenilikler