Konta usług
Konto usługi to konto użytkownika utworzone jawnie w celu zapewnienia kontekstu zabezpieczeń dla usług działających w systemach operacyjnych Windows Server. Kontekst zabezpieczeń określa zdolność usługi do uzyskiwania dostępu do zasobów lokalnych i sieciowych. Systemy operacyjne Windows korzystają z usług do uruchamiania różnych funkcji. Te usługi można skonfigurować za pomocą aplikacji, przystawki Usługi lub Menedżera zadań albo za pomocą programu Windows PowerShell.
Ten artykuł zawiera informacje o następujących typach kont usług:
-
autonomiczne konta usług zarządzanych - Zarządzane przez grupę konta usług
- Delegowane konta usług zarządzanych
- konta wirtualne
Autonomiczne zarządzane konta usług
Zarządzane konta usług są przeznaczone do izolowania kont domeny w kluczowych aplikacjach, takich jak Internet Information Services (IIS). Eliminuje to konieczność ręcznego administrowania główną nazwą usługi (SPN) i poświadczeniami kont przez administratora.
Jedno zarządzane konto usługi może służyć do obsługi usług na jednym komputerze. Zarządzane konta usług nie mogą być współużytkowane między wieloma komputerami i nie mogą być używane w klastrach serwerów, w których usługa jest replikowana na wielu węzłach klastra. W tym scenariuszu należy użyć konta usługi zarządzanego przez grupę. Aby uzyskać więcej informacji, zobacz Group Managed Service Accounts Overview (Omówienie kont usług zarządzanych przez grupę).
Oprócz zwiększonych zabezpieczeń zapewnianych przez indywidualne konta dla usług krytycznych istnieją cztery ważne korzyści administracyjne związane z zarządzanymi kontami usług:
Można utworzyć klasę kont domeny, która może służyć do zarządzania usługami i ich obsługi na komputerach lokalnych.
W przeciwieństwie do kont domeny, w których administratorzy muszą ręcznie resetować hasła, hasła sieciowe dla tych kont są automatycznie resetowane.
Aby korzystać z zarządzanych kont usług, nie trzeba realizować złożonych zadań związanych z zarządzaniem SPN.
Zadania administracyjne dla zarządzanych kont usług można delegować do kont niebędących administratorami.
Notatka
Zarządzane konta usługowe dotyczą tylko tych systemów operacyjnych Windows, które są wymienione w sekcji Applies to na początku tego artykułu.
Konta usług zarządzanych przez grupę
Konta usług zarządzanych przez grupę to rozszerzenie autonomicznych zarządzanych kont usług. Te konta to zarządzane konta domeny, które zapewniają automatyczne zarządzanie hasłami i uproszczone zarządzanie nazwami SPN, w tym delegowanie zarządzania do innych administratorów.
Konto usługi zarządzane przez grupę zapewnia takie same funkcje jak autonomiczne zarządzane konto usługi w domenie, ale rozszerza tę funkcjonalność na wiele serwerów. W przypadku nawiązywania połączenia z usługą hostowaną w farmie serwerów, takiej jak równoważenie obciążenia sieciowego, protokoły uwierzytelniania obsługujące wzajemne uwierzytelnianie wymagają wszystkich wystąpień usług do korzystania z tej samej jednostki. Gdy konta usługi zarządzane przez grupę są używane jako jednostki usługi, system operacyjny Windows Server zarządza hasłem dla konta zamiast polegać na administratorze do zarządzania hasłem.
Usługa dystrybucji kluczy firmy Microsoft (kdssvc.dll) udostępnia mechanizm bezpiecznego uzyskiwania najnowszego klucza lub określonego klucza przy użyciu identyfikatora klucza dla konta usługi Active Directory (AD). Ta usługa została wprowadzona w systemie Windows Server 2012 i nie działa we wcześniejszych wersjach systemu operacyjnego Windows Server. Kdssvc.dll udostępnia wpis tajny, który służy do tworzenia kluczy dla konta. Te klucze są okresowo zmieniane. W przypadku konta usługi zarządzanego przez grupę kontroler domeny oblicza hasło na kluczu dostarczonym przez kdssvc.dll, oprócz innych atrybutów konta usługi zarządzanej przez grupę.
Delegowane zarządzane konta usług
Dodanie nowego typu konta nazywanego delegowanym kontem usługi zarządzanej (dMSA) jest wprowadzane w systemie Windows Server 2025. Ten typ konta umożliwia użytkownikom przejście z tradycyjnych kont usług na konta maszyn, które mają zarządzane i w pełni losowe klucze, a także wyłączenie oryginalnych haseł konta usługi. Uwierzytelnianie dla usługi dMSA jest połączone z tożsamością urządzenia, co oznacza, że tylko określone tożsamości maszyny mapowane w usłudze AD mogą uzyskiwać dostęp do konta. Korzystając z programu dMSA, użytkownicy mogą zapobiec typowemu problemowi z zbieraniem poświadczeń przy użyciu konta, którego bezpieczeństwo zostało naruszone, skojarzone z tradycyjnymi kontami usług.
Użytkownicy mają możliwość utworzenia konta dMSA jako autonomicznego konta lub zastąpienia istniejącego standardowego konta usługi. Jeśli istniejące konto zostanie zastąpione przez program dMSA, uwierzytelnianie przy użyciu hasła starego konta zostanie zablokowane. Zamiast tego żądanie jest przekierowywane do lokalnego urzędu zabezpieczeń (LSA) na potrzeby uwierzytelniania przy użyciu programu dMSA, który będzie miał dostęp do tych samych zasobów co poprzednie konto w usłudze AD. Aby dowiedzieć się więcej, zobacz Delegowane zarządzane konta usług — omówienie.
Konta wirtualne
Konta wirtualne to zarządzane konta lokalne, które upraszczają administrowanie usługami, zapewniając następujące korzyści:
- Konto wirtualne jest zarządzane automatycznie.
- Konto wirtualne może uzyskiwać dostęp do sieci w środowisku domeny.
- Zarządzanie hasłami nie jest wymagane. Jeśli na przykład wartość domyślna jest używana dla kont usług podczas instalacji programu SQL Server w systemie Windows Server, konto wirtualne, które używa nazwy wystąpienia jako nazwy usługi, jest ustanawiane w formacie
NT SERVICE\<SERVICENAME>.
Usługi uruchamiane jako konta wirtualne uzyskują dostęp do zasobów sieciowych przy użyciu poświadczeń konta komputera w formacie <domain_name>\<computer_name>$.
Aby dowiedzieć się, jak skonfigurować i używać kont usług wirtualnych, zobacz Zarządzane konto usługi i pojęcia dotyczące konta wirtualnego.
Notatka
Konta wirtualne dotyczą tylko systemów operacyjnych Windows wymienionych w sekcji "Dotyczy" na początku tego artykułu.
Wybieranie konta usługi
Konta usług służą do kontrolowania dostępu usługi do zasobów lokalnych i sieciowych oraz pomagają zapewnić, że usługa może działać bezpiecznie i bezpiecznie bez ujawniania poufnych informacji lub zasobów nieautoryzowanym użytkownikom. Aby wyświetlić różnice między typami kont usług, zobacz naszą tabelę porównawczą:
| Kryterium | sMSA | gMSA | dMSA | Konta wirtualne |
|---|---|---|---|---|
| Aplikacja działa na jednym serwerze | Tak | Tak | Tak | Tak |
| Aplikacja działa na wielu serwerach | Nie | Tak | Nie | Nie |
| Aplikacja działa pod równoważeniem obciążenia | Nie | Tak | Nie | Nie |
| Aplikacja działa w systemie Windows Server | Tak | Nie | Nie | Tak |
| Wymaganie ograniczenia konta usługi do pojedynczego serwera | Tak | Nie | Tak | Nie |
| Obsługuje konto komputera połączone z tożsamością urządzenia | Nie | Nie | Tak | Nie |
| Używanie w scenariuszach o wysokim poziomie zabezpieczeń (zapobieganie zbieraniu poświadczeń) | Nie | Nie | Tak | Nie |
Podczas wybierania konta usługi należy wziąć pod uwagę czynniki, takie jak poziom dostępu wymagany przez usługę, zasady zabezpieczeń wprowadzone na serwerze oraz określone potrzeby aplikacji lub usługi.
sMSA: Przeznaczone do użytku na jednym komputerze, sMSAs zapewniają bezpieczną i uproszczoną metodę zarządzania nazwami SPN i poświadczeniami. Automatycznie zarządzają hasłami i idealnie nadają się do izolowania kont domeny w krytycznych aplikacjach. Nie można ich jednak używać na wielu serwerach ani w klastrach serwerów.
gMSA: Rozszerz funkcjonalność sMSA przez obsługę wielu serwerów, czyniąc je odpowiednimi dla farm serwerów i aplikacji o zrównoważonym obciążeniu. Oferują automatyczne zarządzanie hasłami i SPN, co zmniejsza obciążenie administracyjne. gMSAs zapewniają jednolite rozwiązanie tożsamości, umożliwiając bezproblemowe uwierzytelnianie usług w wielu instancjach.
dMSA: łączy uwierzytelnianie z określonymi tożsamościami maszyn, uniemożliwiając nieautoryzowany dostęp za pośrednictwem zbierania poświadczeń, co umożliwia przejście z tradycyjnych kont usług z w pełni losowymi i zarządzanymi kluczami. Konta dMSA mogą zastąpić istniejące tradycyjne konta usług, zapewniając, że tylko autoryzowane urządzenia mogą uzyskiwać dostęp do poufnych zasobów.
konta wirtualne: zarządzane konto lokalne, które zapewnia uproszczone podejście do administrowania usługami bez konieczności ręcznego zarządzania hasłami. Mogą oni uzyskiwać dostęp do zasobów sieciowych przy użyciu poświadczeń konta komputera, dzięki czemu są one odpowiednie dla usług, które wymagają dostępu do domeny. Konta wirtualne są automatycznie zarządzane i wymagają minimalnej konfiguracji.
Zobacz też
| Typ zawartości | Referencje |
|---|---|
| Ocena produktu |
co nowego w przypadku zarządzanych kont usług Rozpocznij Pracę z Grupowymi Kontami Usługowymi |
| Wdrażania | Windows Server 2012: konta usług zarządzane przez grupę — społeczność techniczna |
| Powiązane technologie |
podmioty zabezpieczeń Co nowego w usługach Active Directory Domain Services |