使用網域用戶帳戶作為服務登入帳戶

注意

下列檔案適用於開發人員。 如果您是使用者，正在尋找涉及網域用戶帳戶的錯誤訊息相關信息，請參閱 Microsoft 社群論壇。 如需管理網域用戶帳戶的詳細資訊，請參閱 TechNet。

網域用戶帳戶可讓服務充分利用 Windows 和 Microsoft Active Directory 網域服務 的服務安全性功能。 服務會授與帳戶的任何本機和網路存取權，或授與帳戶所屬的任何群組。 服務可以支援 Kerberos 相互驗證。

使用網域用戶帳戶的優點是服務動作受限於與帳戶相關聯的訪問許可權和許可權。 LocalSystem不同於服務，用戶帳戶服務中的 Bug 無法損害系統。 如果服務因安全性攻擊而遭到入侵，則損害會與系統允許使用者帳戶執行的作業隔離。 同時，以不同許可權等級執行的用戶端可以連線到服務，這可讓服務模擬客戶端來執行敏感性作業。

服務的用戶帳戶不應該是本機、網域或企業的任何系統管理員群組成員。 如果您的服務需要本機系統管理許可權，請在帳戶下 LocalSystem 執行。 對於需要網域系統管理許可權的作業，請藉由模擬用戶端應用程式的安全性內容來執行這些作業。

使用網域用戶帳戶的服務實例需要定期的系統管理動作來維護帳戶密碼。 服務實例主計算機上的服務控制管理員 （SCM） 會快取帳戶密碼，以用於登入服務。 當您變更帳戶密碼時，也必須在安裝服務的主計算機上更新快取的密碼。 如需詳細資訊和程式代碼範例，請參閱 變更服務用戶帳戶的密碼。 您可以藉由讓密碼保持不變來避免定期維護，但這會增加服務帳戶密碼攻擊的可能性。 請注意，即使 SCM 會將密碼儲存在登錄的安全部分，但仍會受到攻擊。

網域用戶帳戶有兩種名稱格式：目錄中用戶對象的辨別名稱，以及本地服務控制管理員所使用的“<domain>\<username>” 格式。 如需詳細資訊和從一種格式轉換成另一種格式的程式代碼範例，請參閱 轉換功能變數名稱格式。