Contas de Logon de Serviço
Um serviço, como qualquer processo, tem uma identidade de segurança primária que determina os direitos e privilégios de acesso concedidos para recursos locais e de rede. Essa identidade de segurança, ou contexto de segurança, também determina o potencial que o serviço tem para danificar recursos locais e de rede.
O contexto de segurança para um serviço Microsoft Win32 é determinado pela conta de logon usada para iniciar o serviço. Esta seção discute problemas de programação e práticas recomendadas relacionadas à conta de logon de serviço usada pelos serviços Win32, com foco em serviços habilitados para diretório. Esta seção inclui os tópicos a seguir:
- Sobre contas de logon de serviço — uma visão geral das contas de logon de serviço e problemas de programação de contexto de segurança para um serviço Win32.
- Diretrizes para selecionar uma conta de logon de serviço para um serviço Win32.
- Configurar a conta de usuário de um serviço.
- Instalando um serviço em um computador host e especificando a conta de logon do serviço.
- Concedendo Direito de Logon como Serviço no Computador Host — Concedendo à conta de usuário do serviço o direito de logon como serviço no computador host.
- Testando se está em execução em um controlador de domínio — Detectando no momento da instalação se a instância de serviço está sendo instalada em um controlador de domínio.
- Concedendo direitos de acesso à conta de logon do serviço — configuração e manutenção de ACEs e associações de grupo para garantir que o sistema conceda ao serviço em execução acesso aos recursos locais e de rede necessários.
- Alterando a senha na conta de usuário de um serviço — Alterando a senha na conta de usuário de um serviço e, ao mesmo tempo, atualizando a senha registrada com o gerenciador de controle de serviço em cada servidor host no qual o serviço está instalado.
- Autenticação mútua usando Kerberos — Mantendo o registro do SPN (nome da entidade de serviço) no objeto de diretório associado à conta de logon de cada instância do serviço. Os SPNs permitem que os clientes autentiquem um serviço usando a autenticação mútua Kerberos.
- Convertendo formatos de nome de conta de domínio — por exemplo, convertendo um nome distinto para o formato Domain**\**UserName e vice-versa.