Sdílet prostřednictvím

Účty služeb

Účet služby je uživatelský účet, který je vytvořený explicitně, aby poskytoval kontext zabezpečení pro služby spuštěné v operačních systémech Windows Server. Kontext zabezpečení určuje schopnost služby přistupovat k místním a síťovým prostředkům. Operační systémy Windows spoléhají na služby pro spouštění různých funkcí. Tyto služby je možné konfigurovat prostřednictvím aplikací, modulu snap-in Služby nebo Správce úloh nebo pomocí prostředí Windows PowerShell.

Tento článek obsahuje informace o následujících typech účtů služeb:

Samostatné účty spravované službami

Účty spravované služby jsou navržené tak, aby izolovaly účty domény v důležitých aplikacích, jako je internetová informační služba (IIS). Eliminují potřebu správce ručně spravovat hlavní název služby (SPN) a přihlašovací údaje pro účty.

Jeden účet spravované služby lze použít pro služby v jednom počítači. Účty spravovaných služeb se nedají sdílet mezi několika počítači a nedají se použít v serverových clusterech, kde se služba replikuje na více uzlech clusteru. V tomto scénáři musíte použít účet služby spravované skupinou. Další informace najdete v tématu Přehled účtů spravované služby skupiny.

Kromě rozšířeného zabezpečení, které poskytuje individuální účty pro důležité služby, existují čtyři důležité výhody správy spojené s účty spravovaných služeb:

  • Můžete vytvořit třídu účtů domény, které lze použít ke správě a údržbě služeb v místních počítačích.

  • Na rozdíl od doménových účtů, ve kterých musí správci ručně resetovat hesla, se síťová hesla pro tyto účty automaticky resetují.

  • Abyste mohli používat účty spravovaných služeb, nemusíte provádět složité úlohy správy SPN.

  • Úlohy správy pro účty spravovaných služeb můžete delegovat na účty bez oprávnění správce.

Poznámka

Účty spravované služby se vztahují pouze na operační systémy Windows uvedené v Platí pro na začátku tohoto článku.

Skupinové účty spravované službami

Skupinové účty spravované služby jsou rozšířením samostatných účtů spravovaných služeb. Tyto účty jsou spravované doménové účty, které poskytují automatickou správu hesel a zjednodušenou správu hlavního názvu služby (SPN), včetně delegování správy jiným správcům.

Účet spravované služby skupiny poskytuje stejné funkce jako samostatný účet spravované služby v rámci domény, ale rozšiřuje tuto funkci na více serverů. Když se připojujete ke službě hostované na serverové farmě, jako je vyrovnávání zatížení sítě, ověřovací protokoly, které podporují vzájemné ověřování, vyžadují, aby všechny instance služeb používaly stejný objekt zabezpečení. Pokud se účty řízené službou skupiny používají jako služební účty, operační systém Windows Server spravuje heslo pro tento účet místo toho, aby bylo heslo spravováno správcem.

Služba distribuce klíčů Společnosti Microsoft (kdssvc.dll) poskytuje mechanismus bezpečného získání nejnovějšího klíče nebo konkrétního klíče s identifikátorem klíče pro účet služby Active Directory (AD). Tato služba byla zavedena ve Windows Serveru 2012 a neběží v dřívějších verzích operačního systému Windows Server. Kdssvc.dll sdílí tajný kód, který slouží k vytvoření klíčů pro účet. Tyto klíče se pravidelně mění. Pro účet služby spravované skupinou vypočítá řadič domény (DC) heslo pro klíč, který poskytuje kdssvc.dll, kromě dalších atributů účtu spravované služby skupiny.

Delegovaný spravovaný účet služby

Přidání nového typu účtu s názvem delegovaný účet spravované služby (dMSA) je zaveden v systému Windows Server 2025. Tento typ účtu umožňuje uživatelům přecházet z tradičních účtů služeb na účty počítačů, které mají spravované a plně randomizované klíče, a zároveň zakázat původní hesla účtu služby. Ověřování dMSA je propojené s identitou zařízení, což znamená, že k účtu mají přístup jenom zadané identity počítačů mapované v AD. Pomocí nástroje dMSA můžou uživatelé zabránit běžnému problému získávání přihlašovacích údajů pomocí ohroženého účtu, který je přidružený k tradičním účtům služeb.

Uživatelé mají možnost vytvořit dMSA jako samostatný účet nebo nahradit stávající standardní účet služby. Pokud existující účet nahradí dMSA, zablokuje se ověřování pomocí hesla starého účtu. Místo toho se žádost přesměruje na místní autoritu zabezpečení (LSA) pro ověřování pomocí dMSA, která bude mít přístup ke stejným prostředkům jako předchozí účet ve službě AD. Další informace najdete v přehledu delegovaných spravovaných účtů služeb .

Virtuální účty

Virtuální účty jsou spravované místní účty, které zjednodušují správu služeb tím, že poskytují následující výhody:

  • Virtuální účet se automaticky spravuje.
  • Virtuální účet má přístup k síti v doménovém prostředí.
  • Nevyžaduje se žádná správa hesel. Pokud je například použita výchozí hodnota pro účty služby během instalace SYSTÉMU SQL Server na Windows Serveru, virtuální účet, který používá název instance jako název služby je vytvořen ve formátu NT SERVICE\<SERVICENAME>.

Služby, které běží jako virtuální účty, přistupují k síťovým prostředkům pomocí přihlašovacích údajů účtu počítače ve formátu <domain_name>\<computer_name>$.

Informace o konfiguraci a používání účtů virtuálních služeb najdete v tématu koncepty účtu spravované služby a virtuálních účtů.

Poznámka

Virtuální účty se vztahují pouze na operační systémy Windows uvedené v části Platí pro na začátku tohoto článku.

Volba účtu služby

Účty služeb slouží k řízení přístupu služby k místním a síťovým prostředkům a pomáhají zajistit, aby služba fungovala bezpečně a bezpečně bez zveřejnění citlivých informací nebo prostředků neoprávněným uživatelům. Pokud chcete zobrazit rozdíly mezi typy účtů služeb, projděte si naši srovnávací tabulku:

Kritérium sMSA gMSA dMSA Virtuální účty
Aplikace běží na jednom serveru. Ano Ano Ano Ano
Aplikace běží na více serverech Ne Ano Ne Ne
Aplikace běží za load balancerem. Ne Ano Ne Ne
Aplikace běží na Windows Serveru Ano Ne Ne Ano
Požadavek na omezení účtu služby na jeden server Ano Ne Ano Ne
Podporuje účet počítače propojený s identitou zařízení. Ne Ne Ano Ne
Použití ve scénářích s vysokým zabezpečením (zabránit sběru přihlašovacích údajů) Ne Ne Ano Ne

Při výběru účtu služby je důležité vzít v úvahu faktory, jako je úroveň přístupu vyžadovaná službou, zásady zabezpečení zavedené na serveru a konkrétní potřeby spuštěné aplikace nebo služby.

  • sMSA: Navržené pro použití na jednom počítači poskytují sMSA zabezpečenou a zjednodušenou metodu správy hlavních názvů služeb a přihlašovacích údajů. Automaticky spravují hesla a jsou ideální pro izolování účtů domény v důležitých aplikacích. Nemůžete je ale použít na více serverech ani v serverových clusterech.

  • gMSA: Rozšíření funkčnosti sMSA díky podpoře více serverů, což je činí vhodnými pro serverové farmy a aplikace s vyrovnáváním zatížení. Nabízejí automatickou správu hesel a hlavních názvů služeb (SPN), čímž zmírňují administrativní zátěž. GMSA poskytují jedno řešení identit, které umožňuje bezproblémové ověřování služeb napříč několika instancemi.

  • dMSA: Propojí ověřování s konkrétními identitami počítače, brání neoprávněnému přístupu prostřednictvím získávání přihlašovacích údajů, což umožňuje přechod z tradičních účtů služeb s plně randomizovanými a spravovanými klíči. Účty dMSA můžou nahradit stávající tradiční účty služeb a zajistit tak, aby k citlivým prostředkům měli přístup jenom autorizovaná zařízení.

  • virtuálních účtů: Spravovaný místní účet, který poskytuje zjednodušený přístup ke správě služeb bez nutnosti ruční správy hesel. Mají přístup k síťovým prostředkům pomocí přihlašovacích údajů účtu počítače, takže jsou vhodné pro služby, které vyžadují přístup k doméně. Virtuální účty se spravují automaticky a vyžadují minimální konfiguraci.

Viz také

Typ obsahu Odkazy
Vyhodnocení produktu Co je nového pro účty spravovaných služeb
Začínáme se spravovanými skupinovými účty služby
Nasazení Windows Server 2012: Skupinové účty spravovaných služeb – Technická komunita
Související technologie objekty zabezpečení
Novinky ve službě Active Directory Domain Services