Dienstanmeldungskonten

Ein Dienst verfügt wie jeder Prozess über eine primäre Sicherheitsidentität, die die gewährten Zugriffsrechte und Berechtigungen für lokale und Netzwerkressourcen bestimmt. Diese Sicherheitsidentität oder der Sicherheitskontext bestimmt auch, welche Potenziellen der Dienst für lokale und Netzwerkressourcen hat.

Der Sicherheitskontext für einen Microsoft Win32-Dienst wird durch das Anmeldekonto bestimmt, das zum Starten des Diensts verwendet wird. In diesem Abschnitt werden Programmierprobleme und bewährte Methoden für das von Win32-Diensten verwendete Dienstanmeldungskonto erläutert, wobei der Schwerpunkt auf verzeichnisfähigen Diensten liegt. Dieser Abschnitt enthält die folgenden Themen:

• Informationen zu Dienstanmeldungskonten– Eine Übersicht über Dienstanmeldungskonten und Sicherheitskontextprogrammierungsprobleme für einen Win32-Dienst.
• Richtlinien für die Auswahl eines Dienstanmeldungskontos für einen Win32-Dienst.
• Einrichten des Benutzerkontos eines Diensts.
• Installieren eines Diensts auf einem Hostcomputer und Angeben des Dienstanmeldungskontos.
• Gewähren der Anmeldung als Dienst direkt auf dem Hostcomputer– Gewähren des Benutzerkontos des Diensts die Anmeldung als Dienst direkt auf dem Hostcomputer.
• Testen, ob auf einem Domänencontrollerausgeführt wird – Erkennen, ob die Dienstinstanz auf einem Domänencontroller installiert wird.
• Gewähren von Zugriffsrechten für das Dienstanmeldekonto– Festlegen und Verwalten von ACEs und Gruppenmitgliedschaften, um sicherzustellen, dass das System dem laufenden Dienst Zugriff auf die erforderlichen lokalen und Netzwerkressourcen gewährt.
• Ändern des Kennworts für das Benutzerkonto eines Diensts– Ändern des Kennworts für das Benutzerkonto eines Diensts und gleichzeitiges Aktualisieren des Kennworts, das beim Dienststeuerungs-Manager auf jedem Hostserver registriert ist, auf dem der Dienst installiert ist.
• gegenseitige Authentifizierung mithilfe von Kerberos-– Aufrechterhaltung der SpN-Registrierung (Service Principal Name) für das Verzeichnisobjekt, das dem Anmeldekonto jeder Instanz Ihres Diensts zugeordnet ist. SPNs ermöglichen Clients die Authentifizierung eines Diensts mithilfe der gegenseitigen Kerberos-Authentifizierung.
• Konvertieren von Formaten für Domänenkontonamen, z. B. konvertieren Sie einen distinguished Name in Domain**\**UserName Format, und umgekehrt.