Service accounts
Een serviceaccount is een gebruikersaccount dat expliciet wordt gemaakt om een beveiligingscontext te bieden voor services die worden uitgevoerd op Windows Server-besturingssystemen. De beveiligingscontext bepaalt de mogelijkheid van de service om toegang te krijgen tot lokale en netwerkbronnen. Windows-besturingssystemen zijn afhankelijk van services voor het uitvoeren van verschillende functies. Deze services kunnen worden geconfigureerd via de toepassingen, de module Services of Taakbeheer, of met behulp van Windows PowerShell.
Dit artikel bevat informatie over de volgende typen serviceaccounts:
- zelfstandig beheerde serviceaccounts
- beheerde serviceaccounts groeperen
- gedelegeerde beheerde serviceaccounts
- virtuele accounts
Zelfstandige beheerde serviceaccounts
Beheerde serviceaccounts zijn ontworpen om domeinaccounts te isoleren in cruciale toepassingen, zoals Internet Information Services (IIS). Ze elimineren de noodzaak voor een beheerder om de SPN (Service Principal Name) en referenties voor de accounts handmatig te beheren.
Eén beheerd serviceaccount kan worden gebruikt voor services op één computer. Beheerde serviceaccounts kunnen niet worden gedeeld tussen meerdere computers en kunnen niet worden gebruikt in serverclusters waarop een service wordt gerepliceerd op meerdere clusterknooppunten. Voor dit scenario moet u een door groepen beheerd serviceaccount gebruiken. Zie Overzicht van beheerde serviceaccounts voor groepenvoor meer informatie.
Naast de verbeterde beveiliging die wordt geboden door afzonderlijke accounts voor kritieke services te hebben, zijn er vier belangrijke administratieve voordelen gekoppeld aan beheerde serviceaccounts:
U kunt een klasse domeinaccounts maken die kunnen worden gebruikt voor het beheren en onderhouden van services op lokale computers.
In tegenstelling tot domeinaccounts waarin beheerders handmatig wachtwoorden opnieuw moeten instellen, worden de netwerkwachtwoorden voor deze accounts automatisch opnieuw ingesteld.
U hoeft geen complexe SPN-beheertaken te voltooien om beheerde serviceaccounts te gebruiken.
U kunt beheertaken voor beheerde serviceaccounts delegeren aan niet-beheerdersaccounts.
Notitie
Deze beheerde serviceaccounts zijn alleen van toepassing op de Windows-besturingssystemen die vermeld worden in de sectie Van toepassing op aan het begin van dit artikel.
Door groepen beheerde serviceaccounts
Door groepen beheerde serviceaccounts zijn een uitbreiding van zelfstandige beheerde serviceaccounts. Deze accounts zijn beheerde domeinaccounts die automatisch wachtwoordbeheer en vereenvoudigd SPN-beheer bieden, inclusief delegering van beheer aan andere beheerders.
Een door een groep beheerd serviceaccount biedt dezelfde functionaliteit als een zelfstandig beheerd serviceaccount binnen het domein, maar het breidt die functionaliteit uit op meerdere servers. Wanneer u verbinding maakt met een service die wordt gehost op een serverfarm, zoals Netwerktaakverdeling, moeten voor de verificatieprotocollen die wederzijdse verificatie ondersteunen, alle exemplaren van de services dezelfde principal gebruiken. Wanneer door groepen beheerde serviceaccounts worden gebruikt als service-principals, beheert het Windows Server-besturingssysteem het wachtwoord voor het account in plaats van dat de beheerder het wachtwoord beheert.
De Microsoft Key Distribution Service (kdssvc.dll) biedt het mechanisme voor het veilig verkrijgen van de meest recente sleutel of een specifieke sleutel met een sleutel-id voor een Ad-account (Active Directory). Deze service is geïntroduceerd in Windows Server 2012 en wordt niet uitgevoerd op eerdere versies van het Windows Server-besturingssysteem. Kdssvc.dll deelt een geheim, dat wordt gebruikt om sleutels voor het account te maken. Deze sleutels worden periodiek gewijzigd. Voor een door een groep beheerd serviceaccount berekent de domeincontroller (DC) het wachtwoord op de sleutel die wordt geleverd door kdssvc.dll, naast andere kenmerken van het door de groep beheerde serviceaccount.
Gedelegeerde beheerde serviceaccounts
De toevoeging van een nieuw type account met de naam gedelegeerd beheerd serviceaccount (dMSA) wordt geïntroduceerd in Windows Server 2025. Met dit accounttype kunnen gebruikers overstappen van traditionele serviceaccounts naar computeraccounts met beheerde en volledig gerandomiseerde sleutels, terwijl ze ook de oorspronkelijke wachtwoorden van het serviceaccount uitschakelen. Verificatie voor dMSA is gekoppeld aan de apparaat-id, wat betekent dat alleen opgegeven computeridentiteiten die zijn toegewezen in AD toegang hebben tot het account. Door gebruik te maken van dMSA kunnen gebruikers het veelvoorkomende probleem van het stelen van inloggegevens voorkomen dat zich voordoet wanneer een gecompromitteerd account is gekoppeld aan traditionele serviceaccounts.
Gebruikers hebben de mogelijkheid om een dMSA te maken als een zelfstandig account of een bestaand standaardserviceaccount te vervangen. Als een bestaand account wordt vervangen door een dMSA, wordt verificatie met het wachtwoord van het oude account geblokkeerd. In plaats daarvan wordt de aanvraag omgeleid naar de LSA (Local Security Authority) voor verificatie met behulp van de dMSA, die toegang heeft tot dezelfde resources als het vorige account in AD. Zie Overzicht van gedelegeerde beheerde serviceaccountsvoor meer informatie.
Virtuele accounts
Virtuele accounts zijn beheerde lokale accounts waarmee servicebeheer wordt vereenvoudigd door de volgende voordelen te bieden:
- Het virtuele account wordt automatisch beheerd.
- Het virtuele account heeft toegang tot het netwerk in een domeinomgeving.
- Wachtwoordbeheer is niet vereist. Als de standaardwaarde bijvoorbeeld wordt gebruikt voor de serviceaccounts tijdens het instellen van SQL Server in Windows Server, wordt een virtueel account aangemaakt dat de exemplaarnaam als de servicenaam gebruikt in het formaat
NT SERVICE\<SERVICENAME>
.
Services die als virtuele accounts worden aangedreven, hebben toegang tot netwerkbronnen door middel van de referenties van het computeraccount in de vorming <domain_name>\<computer_name>$
.
Voor informatie over het configureren en gebruiken van virtuele serviceaccounts, zie beheerde serviceaccount- en virtuele accountconcepten.
Notitie
Virtuele accounts zijn alleen van toepassing op de Windows-besturingssystemen die worden vermeld in 'Van toepassing op' aan het begin van dit artikel.
Uw serviceaccount kiezen
Serviceaccounts worden gebruikt om de toegang van de service tot lokale en netwerkbronnen te beheren en ze zorgen ervoor dat de service veilig en veilig kan werken zonder gevoelige informatie of resources bloot te stellen aan onbevoegde gebruikers. Als u de verschillen tussen serviceaccounttypen wilt bekijken, raadpleegt u de vergelijkingstabel:
Criterium | sMSA | gMSA | dMSA | Virtuele accounts |
---|---|---|---|---|
App wordt uitgevoerd op één server | Ja | Ja | Ja | Ja |
App wordt uitgevoerd op meerdere servers | Nee | Ja | Nee | Nee |
App wordt uitgevoerd achter een load balancer | Nee | Ja | Nee | Nee |
App wordt uitgevoerd op Windows Server | Ja | Nee | Nee | Ja |
Vereiste om het serviceaccount te beperken tot één server | Ja | Nee | Ja | Nee |
Ondersteunt computeraccount dat is gekoppeld aan apparaat-id | Nee | Nee | Ja | Nee |
Gebruiken voor scenario's met hoge beveiliging (voorkomen dat referenties worden geoogst) | Nee | Nee | Ja | Nee |
Wanneer u een serviceaccount kiest, is het belangrijk om rekening te houden met factoren zoals het toegangsniveau dat is vereist voor de service, het beveiligingsbeleid op de server en de specifieke behoeften van de toepassing of service die wordt uitgevoerd.
sMSA-: sMSA's zijn ontworpen voor gebruik op één computer en bieden een veilige en vereenvoudigde methode voor het beheren van SPN's en referenties. Ze beheren automatisch wachtwoorden en zijn ideaal voor het isoleren van domeinaccounts in kritieke toepassingen. Ze kunnen echter niet worden gebruikt op meerdere servers of in serverclusters.
gMSA-: breid de functionaliteit van SMSA's uit door meerdere servers te ondersteunen, zodat deze geschikt zijn voor serverfarms en toepassingen met gelijke taakverdeling. Ze bieden automatisch wachtwoord- en SPN-beheer, waardoor administratieve lasten worden versoepeld. gMSA's bieden één identiteitsoplossing, waardoor services naadloos kunnen worden geverifieerd in meerdere exemplaren.
dMSA-: hiermee koppelt u verificatie aan specifieke computeridentiteiten, waardoor onbevoegde toegang wordt voorkomen via het verzamelen van referenties, waardoor de overgang van traditionele serviceaccounts met volledig gerandomiseerde en beheerde sleutels mogelijk is. dMSA's kunnen bestaande traditionele serviceaccounts vervangen, zodat alleen geautoriseerde apparaten toegang hebben tot gevoelige resources.
virtuele accounts: een beheerd lokaal account dat een vereenvoudigde benadering biedt voor servicebeheer zonder dat handmatig wachtwoordbeheer nodig is. Ze hebben toegang tot netwerkbronnen met behulp van de referenties van het computeraccount, waardoor ze geschikt zijn voor services waarvoor domeintoegang is vereist. Virtuele accounts worden automatisch beheerd en vereisen minimale configuratie.
Zie ook
Inhoudstype | Verwijzingen |
---|---|
Productevaluatie |
Wat is er nieuw voor beheerde serviceaccounts Aan de slag met door groepen beheerde serviceaccounts |
Implementatie | Windows Server 2012: Door groepen beheerde serviceaccounts - Tech Community- |
Verwante technologieën |
beveiligingsprinciplen Wat is er nieuw in Active Directory Domain Services |