Учетные записи входа в службу

Служба, как и любой процесс, имеет основное удостоверение безопасности, определяющее предоставленные права доступа и привилегии для локальных и сетевых ресурсов. Это удостоверение безопасности или контекст безопасности также определяет потенциал службы для повреждения локальных и сетевых ресурсов.

Контекст безопасности для службы Microsoft Win32 определяется учетной записью входа, которая используется для запуска службы. В этом разделе рассматриваются проблемы программирования и рекомендации, касающиеся учетной записи входа в службу, используемой службами Win32, с акцентом на службы с поддержкой каталогов. В этом разделе рассматриваются следующие темы:

• Сведения о учетных записях входа в службу— обзор учетных записей входа в службу и проблемы с контекстом безопасности для службы Win32.
• Рекомендации по выбору учетной записи входа в службу Win32.
• Настройка учетной записи пользователя службы.
• Установка службы на хост-компьютере и указание учетной записи входа в службу.
• Предоставление входа в качестве службы прямо на хост-компьютере— предоставление учетной записи пользователя службы вход в качестве службы прямо на хост-компьютере.
• Проверка того, выполняется ли на контроллере домена— обнаружение во время установки экземпляра службы на контроллере домена.
• Предоставление прав доступа учетной записи входа в службу— настройка и обслуживание acEs и членства в группах, чтобы система предоставила запущенной службе доступ к необходимым локальным и сетевым ресурсам.
• Изменение пароля учетной записи пользователя службы— изменение пароля учетной записи пользователя службы и одновременное обновление пароля, зарегистрированного в диспетчере управления службами, на каждом сервере узла, на котором установлена служба.
• Взаимная проверка подлинности с помощью Kerberos— обслуживание регистрации имени субъекта-службы (SPN) в объекте каталога, связанном с учетной записью входа в систему каждого экземпляра службы. Имена субъектов-служб позволяют клиентам проходить проверку подлинности службы с помощью взаимной проверки подлинности Kerberos.
• Преобразование форматов имени учетной записи домена— например, преобразование различающегося имени в формат имени пользователя домена**\**и наоборот.