服務帳戶
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
服務帳戶是明確建立的使用者帳戶,旨在為 Windows Server 作業系統上執行的服務提供安全性內容。 安全性內容決定了服務存取本機和網路資源的能力。 Windows 作業系統依賴服務來執行各種功能。 您可以透過應用程式、服務嵌入式管理單元或工作管理員,或藉由使用 Windows PowerShell 來設定這些服務。
本文包含下列服務帳戶類型的相關資訊:
獨立受管理的服務帳戶
受管理的服務帳戶是設計來隔離重要應用程式中的網域帳戶,例如 Internet Information Services (IIS)。 其消除了系統管理員為帳戶手動管理其服務主體名稱 (SPN) 和認證的需求。
若要使用受管理的服務帳戶,安裝應用程式或服務的伺服器必須執行 Windows Server 2008 R2 或更新版本。 一個受管理的服務帳戶可以用於單一電腦上的服務。 受管理的服務帳戶無法在多部電腦之間共用,而且其不能用於在多個叢集節點上複寫服務的伺服器叢集。 針對此案例,您必須使用群組受管理的服務帳戶。 如需相關資訊,請參閱群組受管理的服務帳戶概觀。
除了擁有重要服務個別帳戶所提供的增強安全性之外,還有四個與受管理的服務帳戶相關聯的重要系統管理優勢:
您可以建立可用來管理和維護本機電腦上服務的網域帳戶類別。
不同於系統管理員必須手動重設密碼的網域帳戶,這些帳戶的網路密碼會自動重設。
您不必完成複雜的 SPN 管理工作,即可使用受管理的服務帳戶。
您可以將受管理的服務帳戶的系統管理工作委派給非系統管理員。
注意
受管理的服務帳戶僅適用於本文開頭處「適用於」中列出的 Windows 作業系統。
群組受管理的服務帳戶
群組受管理的服務帳戶是獨立受管理的服務帳戶的延伸,這是在 Windows Server 2008 R2 中引進的。 這些帳戶是受管理的網域帳戶,其會提供自動密碼管理以及簡化的 SPN 管理,包括將管理委派給其他系統管理員。
群組受管理的服務帳戶會提供與網域內獨立受管理的服務帳戶相同的功能,但其會將該功能延伸到多部伺服器。 當您連線到伺服器陣列上裝載的服務 (例如網路負載平衡) 時,支援相互驗證的驗證通訊協定會要求服務的所有執行個體都使用相同的主體。 當群組受管理的服務帳戶用作服務主體時,Windows Server 作業系統會管理帳戶的密碼,而不是依賴系統管理員來管理密碼。
Microsoft 金鑰發佈服務 (kdssvc.dll) 使用 Active Directory (AD) 帳戶的金鑰識別碼,提供安全取得最新金鑰或特定金鑰的機制。 這項服務是在 Windows Server 2012 中引進的,而且不會在舊版 Windows Server 作業系統上執行。 金鑰發佈服務共用一個用來建立帳戶金鑰的密碼。 系統會定期變更這些金鑰。 對於群組受管理的服務帳戶,除了群組受管理的服務帳戶的其他屬性以外,網域控制站還會針對金鑰發佈服務所提供的金鑰來計算密碼。
群組受管理的實際應用程式
群組受管理的服務帳戶會為服務提供單一識別解決方案,而這些服務是在伺服器陣列上執行,或是在使用網路負載平衡的系統上執行。 藉由提供群組受管理的服務帳戶解決方案,可以針對群組受管理的服務帳戶主體設定服務,而且密碼管理是由作業系統處理。
藉由使用群組受管理的服務帳戶,服務管理員不需要管理服務執行個體之間的密碼同步。 群組受管理的服務帳戶支援長時間保持離線狀態的主機,以及支援針對服務的所有執行個體管理成員主機。 此佈建表示您可以部署一個支援單一身分識別的伺服器陣列,現有的用戶端電腦可以對該身分識別進行驗證,而無需知道這些電腦所連線的服務執行個體。
容錯移轉叢集不支援群組受管理的服務帳戶。 不過,如果在叢集服務之上執行的服務是 Windows 服務、應用程式集區或排程工作,或是如果其原生支援群組受管理的服務帳戶或獨立受管理的服務帳戶,則這些服務可以使用群組受管理的服務帳戶或獨立受管理的服務帳戶。
群組受管理的軟體需求
只有在執行 Windows Server 2012 或更新版本的電腦上,才能設定和管理群組受管理的服務帳戶。 但是這些帳戶可以部署為網域中的單一服務身分識別解決方案,而這些網域仍有網域控制站正在執行早於 Windows Server 2012 的作業系統。 沒有網域或樹系功能等級的需求。
需有 64 位元架構,才能執行用來管理群組受管理的服務帳戶的 Windows PowerShell 命令。
受管理的服務帳戶依賴 Kerberos 支援的加密類型。 當用戶端電腦使用 Kerberos 通訊協定,向伺服器進行驗證時,網域控制站會建立 Kerberos 服務票證,該票證會受到網域控制站和伺服器支援的加密保護。 網域控制站會使用帳戶的 msDS-SupportedEncryptionTypes 屬性來確定伺服器支援的加密。 如果沒有屬性,其會假設用戶端電腦不支援更強大的加密類型。 進階加密標準 (AES) 必須一律針對受管理的服務帳戶進行設定。 如果裝載受管理的服務帳戶的電腦設定為「不」支援 RC4,驗證一律會失敗。
注意
資料加密標準 (DES) 是在 Windows Server 2008 R2 中引進的,預設會將其停用。 群組受管理的服務帳戶不適用於早於 Windows Server 2012 的 Windows 作業系統。
如需受支援加密類型的詳細資訊,請參閱 Kerberos 驗證的變更。
委派的受控服務帳戶
在 Windows Server 2025 中引進,現在支援新增稱為委派受控服務帳戶 (dMSA) 的新類型帳戶。 此帳戶類型可讓使用者從傳統服務帳戶轉換至受管理且完全隨機化金鑰的電腦帳戶,同時也停用原始服務帳戶密碼。 dMSA 的驗證會連結至裝置身分識別,這表示,僅限在 AD 中對應的指定電腦身分識別可存取帳戶。 透過使用 dMSA,使用者可以使用與傳統服務帳戶關聯的受損帳戶來防止憑證收集的常見問題。
使用者可以選擇建立 dMSA 作為獨立帳戶或用其取代現有的標準服務帳戶。 如果現有帳戶被 dMSA 取代,則使用舊帳戶密碼的驗證將被封鎖。 相反,該要求會重新導向至本機安全性授權單位 (LSA),以便使用 dMSA 進行驗證,該 dMSA 將有權存取與 AD 中先前帳戶相同的資源。 若要深入了解,請參閱委派受控服務帳戶概觀。
虛擬帳戶
虛擬帳戶是在 Windows Server 2008 R2 和 Windows 7 中引進的。 其是受管理的本機帳戶,藉由提供下列優點來簡化服務管理:
- 自動管理虛擬帳戶。
- 虛擬帳戶可以在網域環境中存取網路。
- 不需要管理密碼。 例如,如果在 Windows Server 2008 R2 上設定 SQL Server 期間,將預設值用於服務帳戶,則會以 NT SERVICE\<SERVICENAME> 格式建立虛擬帳戶,其會使用執行個體名稱作為服務名稱。
以虛擬帳戶執行的服務會使用電腦帳戶的認證 (格式為 <domain_name>\<computer_name>$) 存取網路資源。
若要了解如何設定和使用虛擬服務帳戶,請參閱服務帳戶逐步指南。
注意
虛擬帳戶僅適用於本文開頭處「適用於」中列出的 Windows 作業系統。
另請參閱
如需與獨立受管理的服務帳戶、群組受管理的服務帳戶和虛擬帳戶相關的其他資源,請參閱:
| 內容類型 | 參考資料 |
|---|---|
| 產品評估 | 受管理的服務帳戶的新功能 開始使用群組受管理的服務帳戶 |
| 部署 | Windows Server 2012:群組受管理的服務帳戶 - Ask Premier Field Engineering (PFE) Platforms - 網站首頁 - TechNet 部落格 |
| 相關技術 | 安全性主體 Active Directory Domain Services 的新功能 |