サービス ログイン アカウント

サービスには、他のプロセスと同様に、ローカルおよびネットワークリソースに対して付与されたアクセス権と特権を決定するプライマリセキュリティidがあります。 このセキュリティIDまたはセキュリティコンテキストによって、サービスがローカルおよびネットワークリソースに損害を与える可能性も決まります。

Microsoft Win32サービスのセキュリティコンテキストは、サービスの開始に使用されるログオンアカウントによって決まります。 このセクションでは、ディレクトリ対応サービスに重点を置いて、Win32サービスで使用されるサービスログオンアカウントに関連するプログラミングの問題とベストプラクティスについて説明します。 ここでは、次のトピックについて説明します。

• サービスログオンアカウントについて—Win32サービスのサービスログオンアカウントとセキュリティコンテキストプログラミングの問題の概要について説明します。
• Win32サービスのサービスログオンアカウントを選択するためのガイドライン。
• サービスのユーザーアカウントの設定。
• ホストコンピュータにサービスをインストールすると、サービスのログオンアカウントを指定する。
• ホストコンピュータ上でサービスとしてのログオン権を付与するサービスのユーザーアカウントにホストコンピュータ上でサービスとしてのログオン権を付与する。
• ドメインコントローラー上で実行されているかどうかのテスト-サービスインスタンスがドメインコントローラー上にインストールされているかどうかをインストール時に検出する。
• サービスログオンアカウントへのアクセス権の付与実行中のサービスが必要なローカルおよびネットワークリソースにアクセスできるように、ACEとグループメンバーシップを設定および維持する。
• サービスのユーザアカウントのパスワードを変更するサービスのユーザアカウントのパスワードを変更すると同時に、サービスがインストールされている各ホストサーバのサービスコントロールマネージャに登録されているパスワードを更新する。
• Kerberosを使用した相互認証-サービスの各インスタンスのログオンアカウントに関連付けられたディレクトリオブジェクトへのサービスプリンシパル名（SPN）登録の維持。 SPNを使用すると、クライアントはKerberos相互認証を使用してサービスを認証できます。
• ドメインアカウント名の形式の変換たとえば、識別名をDomain**\**UserName形式に変換したり、その逆を行ったりします。