Verwenden eines Domänenbenutzerkontos als Dienstanmeldekonto
Hinweis
Die folgende Dokumentation richtet sich an Entwickler. Wenn Sie ein Endbenutzer sind, der Informationen zu einer Fehlermeldung mit Domänenbenutzerkonten sucht, lesen Sie die Microsoft-Communityforen. Informationen zum Verwalten von Domänenbenutzerkonten finden Sie unter TechNet.
Bei einem Domänenbenutzerkonto können mit dem Dienst die Dienstsicherheitsfunktionen von Windows und Microsoft Active Directory Domain Services in vollem Umfang genutzt werden. Der Dienst verfügt über den lokalen und Netzwerkzugriff, der dem Konto oder allen Gruppen gewährt wird, deren Mitglied das Konto ist. Der Dienst kann die gegenseitige Kerberos-Authentifizierung unterstützen.
Der Vorteil der Verwendung eines Domänenbenutzerkontos besteht darin, dass die Aktionen des Diensts durch die dem Konto zugeordneten Zugriffsrechte und Berechtigungen eingeschränkt werden. Im Gegensatz zu einem LocalSystem
Dienst können Fehler in einem Benutzerkontodienst das System nicht beschädigen. Wenn der Dienst durch einen Sicherheitsangriff kompromittiert wird, wird der Schaden von den Vorgängen isoliert, die das System dem Benutzerkonto zulässt. Gleichzeitig können Clients, die mit unterschiedlichen Berechtigungsstufen ausgeführt werden, eine Verbindung mit dem Dienst herstellen, wodurch der Dienst die Identität eines Clients annehmen kann, um vertrauliche Vorgänge auszuführen.
Das Benutzerkonto eines Diensts sollte nicht Mitglied von Administratorgruppen sein, die lokal, domäne oder enterprise sind. Wenn Ihr Dienst lokale Administratorrechte benötigt, führen Sie ihn unter dem LocalSystem
Konto aus. Führen Sie bei Vorgängen, die Domänenadministratorrechte erfordern, diese aus, indem Sie die Identität des Sicherheitskontexts einer Clientanwendung annehmen.
Ein Dienst instance, der ein Domänenbenutzerkonto verwendet, erfordert regelmäßige administrative Maßnahmen, um das Kontokennwort zu verwalten. Der Dienststeuerungs-Manager (SCM) auf dem Hostcomputer eines Diensts instance das Kontokennwort zur Verwendung bei der Anmeldung beim Dienst zwischenspeichert. Wenn Sie das Kontokennwort ändern, müssen Sie auch das zwischengespeicherte Kennwort auf dem Hostcomputer aktualisieren, auf dem der Dienst installiert ist. Weitere Informationen und ein Codebeispiel finden Sie unter Ändern des Kennworts für das Benutzerkonto eines Diensts. Sie könnten die regelmäßige Wartung vermeiden, indem Sie das Kennwort unverändert lassen, aber dies würde die Wahrscheinlichkeit eines Kennwortangriffs auf das Dienstkonto erhöhen. Beachten Sie, dass das SCM, obwohl das Kennwort in einem sicheren Teil der Registrierung gespeichert wird, dennoch einem Angriff ausgesetzt ist.
Ein Domänenbenutzerkonto weist zwei Namensformate auf: den distinguished name des Benutzerobjekts im Verzeichnis und das format "<domain>\<username>", das vom lokalen Dienststeuerungs-Manager verwendet wird. Weitere Informationen und ein Codebeispiel, das von einem Format in ein anderes konvertiert wird, finden Sie unter Konvertieren von Domänenkontonamenformaten.