服務帳戶是明確建立的使用者帳戶,旨在為 Windows Server 作業系統上執行的服務提供安全性內容。 安全性內容決定了服務存取本機和網路資源的能力。 Windows 作業系統依賴服務來執行各種功能。 您可以透過應用程式、服務嵌入式管理單元或工作管理員,或藉由使用 Windows PowerShell 來設定這些服務。
本文包含下列服務帳戶類型的相關資訊:
獨立受控服務帳戶
受控服務帳戶的設計目的是隔離重要應用程式中的網域帳戶,例如 Internet Information Services (IIS)。 其消除了系統管理員為帳戶手動管理其服務主體名稱 (SPN) 和認證的需求。
一個受管理的服務帳戶可用於單一計算機上的服務。 受控服務帳戶無法在多部計算機之間共用。 它們也無法用於在多個叢集節點上複寫服務的伺服器叢集中。 在此案例中,您必須使用群組受管理的服務帳戶。 如需詳細資訊,請參閱群組受控服務帳戶概觀。
除了個別帳戶為重要服務所提供的增強安全性之外,還有四個重要的管理優勢與受管理的服務帳戶相關聯:
您可以建立可用來管理和維護本機電腦上服務的網域帳戶類別。
不同於系統管理員必須手動重設密碼的網域帳戶,這些帳戶的網路密碼會自動重設。
您不需要完成複雜的SPN管理工作,即可使用受控服務帳戶。
您可以將受控服務帳戶的系統管理工作委派給非系統管理員帳戶。
注意
受管理的服務帳戶僅適用於本文開頭 [ 套用至 ] 列表中所列的 Windows 作業系統。
群組受管理的服務帳戶
群組受管理的服務帳戶是獨立受控服務帳戶的延伸模組。 這些帳戶是受管理的網域帳戶,其會提供自動密碼管理以及簡化的 SPN 管理,包括將管理委派給其他系統管理員。
群組受管理的服務帳戶提供與網域內獨立受控服務帳戶相同的功能,但它會將該功能延伸至多部伺服器。 當您連線到伺服器陣列上裝載的服務 (例如網路負載平衡) 時,支援相互驗證的驗證通訊協定會要求服務的所有執行個體都使用相同的主體。 當群組受管理的服務帳戶當做服務主體使用時,Windows Server作系統會管理帳戶的密碼,而不是依賴系統管理員來管理密碼。
Microsoft 金鑰發佈服務 (kdssvc.dll) 使用 Active Directory (AD) 帳戶的金鑰識別碼,提供安全取得最新金鑰或特定金鑰的機制。 這項服務是在 Windows Server 2012 中引進的,而且不會在舊版 Windows Server 作業系統上執行。 Kdssvc.dll共用秘密,用來建立帳戶的金鑰。 系統會定期變更這些金鑰。 對於群組受管理的服務帳戶,域控制器會計算 kdssvc.dll所提供的密鑰密碼,以及群組受控服務帳戶的其他屬性。
授權管理的服務帳戶
Windows Server 2025 中引進了稱為委派受控服務帳戶的新帳戶類型。 此帳戶類型可讓您從傳統服務帳戶轉換至已管理和完全隨機密鑰的計算機帳戶,同時停用原始服務帳戶密碼。 dMSA 的驗證會連結至裝置身分識別,這表示,僅限在 AD 中對應的指定電腦身分識別可存取帳戶。 藉由使用 dMSA,您可以防止由於與傳統服務帳戶相關聯的帳戶遭入侵而導致的認證收集的常見問題。
您可以將 dMSA 建立為獨立帳戶,或使用它取代現有的標準服務帳戶。 如果現有的帳戶由 dMSA 取代,則會封鎖透過舊帳戶的密碼進行驗證。 相反地,要求會重新導向至 Local Security Authority (LSA),以透過 dMSA 進行驗證,而 dMSA 可以存取與 AD 中先前帳戶相同的資源。 若要深入了解,請參閱委派受控服務帳戶概觀。
虛擬帳戶
虛擬帳戶是受控的本機帳戶,可提供下列優點來簡化服務管理:
- 自動管理虛擬帳戶。
- 虛擬帳戶可以在網域環境中存取網路。
- 不需要管理密碼。 例如,如果在 Windows Server 上設定 SQL Server 期間使用服務帳戶的預設值,則會以
NT SERVICE\<SERVICENAME>格式建立使用實例名稱作為服務名稱的虛擬帳戶。
以虛擬帳戶身分執行的服務會使用電腦帳戶的認證來存取網路資源,格式為 <domain_name>\<computer_name>$。
若要瞭解如何設定和使用虛擬服務帳戶,請參閱 受控服務帳戶和虛擬帳戶概念。
注意
虛擬帳戶僅適用於本文開頭的 [ 套用至 ] 列表中所列的 Windows作系統。
選擇您的服務帳戶
服務帳戶可用來控制服務的本機和網路資源的存取,並協助確保服務可以安全且安全地運作,而不會將敏感性資訊或資源公開給未經授權的使用者。 下表描述服務帳戶類型之間的差異:
| 準則 | sMSA | 克質譜 | 多米亞 | 虛擬帳戶 |
|---|---|---|---|---|
| 應用程式在單一伺服器上執行 | 是的 | 是的 | 是的 | 是的 |
| 應用程式在多部伺服器上執行 | 否 | 是的 | 否 | 否 |
| 應用程式在負載平衡器後方執行 | 否 | 是的 | 否 | 否 |
| 應用程式在 Windows Server 上執行 | 是的 | 否 | 否 | 是的 |
| 將服務帳戶限制為單一伺服器的需求 | 是的 | 否 | 是的 | 否 |
| 支持連結至裝置身分識別的電腦帳戶 | 否 | 否 | 是的 | 否 |
| 用於高安全性案例(防止認證收集) | 否 | 否 | 是的 | 否 |
選擇服務帳戶時,請務必考慮服務所需的存取層級,以及伺服器上就地的安全策略等因素。 您也應該評估執行的應用程式或服務的特定需求。
sMSA:專為在單一計算機上使用而設計,sMSA 提供安全且簡化的方法來管理 SPN 和認證。 它們會自動管理密碼,非常適合用來隔離重要應用程式中的網域帳戶。 不過,無法在多部伺服器或伺服器叢集中使用它們。
gMSA:藉由支援多部伺服器來擴充 sMSA 的功能,使其適用於伺服器陣列和負載平衡的應用程式。 它們提供自動密碼和SPN管理,減輕系統管理負擔。 gMSA 提供單一身分識別解決方案,可讓服務順暢地跨多個實例進行驗證。
dMSA:將驗證連結至特定計算機身分識別,防止透過認證收集進行未經授權的存取,允許從具有完全隨機和受控密鑰的傳統服務帳戶進行轉換。 dMSA 可以取代現有的傳統服務帳戶,確保只有授權的裝置可以存取敏感性資源。
虛擬帳戶:受控本機帳戶,提供簡化的服務管理方法,而不需要手動密碼管理。 他們可以使用計算機帳戶的認證來存取網路資源,使其適用於需要網域存取的服務。 虛擬帳戶會自動管理,而且需要最少的設定。
相關內容
| 內容類型 | 參考資料 |
|---|---|
| 產品評估 |
受管理服務帳戶的新功能 開始使用群組受管理的服務帳戶 |
| 部署 | Windows Server 2012:群組受管理的服務帳戶 - 技術社群 |
| 相關技術 |
安全性主體 Active Directory Domain Services 的新功能 |