サービス ログオン アカウント
サービスには、他のプロセスと同様に、ローカル リソースとネットワーク リソースに対して付与されたアクセス権と特権を決定するプライマリ セキュリティ ID があります。 このセキュリティ ID (セキュリティ コンテキスト) によって、ローカル リソースとネットワーク リソースに損害を与えるサービスの可能性も決定されます。
Microsoft Win32 サービスのセキュリティ コンテキストは、サービスの開始に使用されるログオン アカウントによって決まります。 このセクションでは、ディレクトリ対応サービスに重点を置いて、Win32 サービスで使用されるサービス ログオン アカウントに関連するプログラミングの問題とベスト プラクティスについて説明します。 このセクションには、次のトピックが含まれています。
- サービス ログオン アカウントについて— Win32 サービスのサービス ログオン アカウントとセキュリティ コンテキストプログラミングの問題の概要です。
- Win32 サービスのサービス ログオン アカウント を選択するためのガイドラインです。
- サービスのユーザー アカウントを設定します。
- ホスト コンピューター にサービスをインストールし、サービス ログオン アカウントを指定します。
- ホスト コンピューターでのサービスとしてのログオン権限の付与 — サービスのユーザー アカウントに、ホスト コンピューター上のサービスとしてのログオン権限を付与します。
- ドメイン コントローラーで実行されているかどうかをテスト—サービス インスタンスがドメイン コントローラーにインストールされているかどうかをインストール時に検出します。
- サービス ログオン アカウントへのアクセス権の付与— ACE とグループ メンバーシップの設定と管理を行って、システムが実行中のサービスに必要なローカル リソースとネットワーク リソースへのアクセス権を確実に付与できるようにします。
- サービスのユーザー アカウントのパスワードの変更— サービスのユーザー アカウントのパスワードを変更すると同時に、サービスがインストールされている各ホスト サーバーのサービス コントロール マネージャーに登録されているパスワードを更新します。
- Kerberosを使用した相互認証 — サービスの各インスタンスのログオン アカウントに関連付けられているディレクトリ オブジェクトに対するサービス プリンシパル名 (SPN) の登録を維持します。 SPN を使用すると、クライアントは Kerberos 相互認証を使用してサービスを認証できます。
- ドメイン アカウント名形式の変換—たとえば、識別名を Domain**\**UserName 形式に変換する場合などです。