服務帳戶
服務帳戶是明確建立的使用者帳戶,旨在為 Windows Server 作業系統上執行的服務提供安全性內容。 安全性內容決定了服務存取本機和網路資源的能力。 Windows 作業系統依賴服務來執行各種功能。 您可以透過應用程式、服務嵌入式管理單元或工作管理員,或藉由使用 Windows PowerShell 來設定這些服務。
本文包含下列服務帳戶類型的相關資訊:
獨立受管理的服務帳戶
受管理的服務帳戶是設計來隔離重要應用程式中的網域帳戶,例如 Internet Information Services (IIS)。 其消除了系統管理員為帳戶手動管理其服務主體名稱 (SPN) 和認證的需求。
若要使用受管理的服務帳戶,安裝應用程式或服務的伺服器必須執行 Windows Server 2008 R2 或更新版本。 一個受管理的服務帳戶可以用於單一電腦上的服務。 受管理的服務帳戶無法在多部電腦之間共用,而且其不能用於在多個叢集節點上複寫服務的伺服器叢集。 針對此案例,您必須使用群組受管理的服務帳戶。 如需詳細資訊,請參閱群組受控服務帳戶概觀。
除了擁有重要服務個別帳戶所提供的增強安全性之外,還有四個與受管理的服務帳戶相關聯的重要系統管理優勢:
您可以建立可用來管理和維護本機電腦上服務的網域帳戶類別。
不同於系統管理員必須手動重設密碼的網域帳戶,這些帳戶的網路密碼會自動重設。
您不必完成複雜的 SPN 管理工作,即可使用受管理的服務帳戶。
您可以將受控服務帳戶的系統管理工作委派給非系統管理員帳戶。
注意
受管理的服務帳戶僅適用於本文開頭的 [套用至] 中列出的 Windows 操作系統。
群組受管理的服務帳戶
群組受管理的服務帳戶是獨立受控服務帳戶的延伸模組,這是 Windows Server 2008 R2 中引進的。 這些帳戶是受管理的網域帳戶,其會提供自動密碼管理以及簡化的 SPN 管理,包括將管理委派給其他系統管理員。
群組受管理的服務帳戶提供與網域內獨立受控服務帳戶相同的功能,但它會將該功能延伸至多部伺服器。 當您連線到伺服器陣列上裝載的服務 (例如網路負載平衡) 時,支援相互驗證的驗證通訊協定會要求服務的所有執行個體都使用相同的主體。 當群組受管理的服務帳戶當做服務主體使用時,Windows Server 作業系統會管理帳戶的密碼,而不是依賴系統管理員來管理密碼。
Microsoft 金鑰發佈服務 (kdssvc.dll) 使用 Active Directory (AD) 帳戶的金鑰識別碼,提供安全取得最新金鑰或特定金鑰的機制。 這項服務是在 Windows Server 2012 中引進的,而且不會在舊版 Windows Server 作業系統上執行。 Kdssvc.dll共用秘密,用來建立帳戶的金鑰。 系統會定期變更這些金鑰。 針對群組管理的服務帳戶,域控制器會計算kdssvc.dll所提供的密鑰密碼,以及群組受管理服務帳戶的其他屬性。
委派的受控服務帳戶
Windows Server 2025 中引進了稱為委派受控服務帳戶的新帳戶類型。 此帳戶類型可讓使用者從傳統服務帳戶轉換至受管理且完全隨機化金鑰的電腦帳戶,同時也停用原始服務帳戶密碼。 dMSA 的驗證會連結至裝置身分識別,這表示,僅限在 AD 中對應的指定電腦身分識別可存取帳戶。 透過使用 dMSA,使用者可以使用與傳統服務帳戶關聯的受損帳戶來防止憑證收集的常見問題。
使用者可以選擇建立 dMSA 作為獨立帳戶或用其取代現有的標準服務帳戶。 如果現有帳戶被 dMSA 取代,則使用舊帳戶密碼的驗證將被封鎖。 相反,該要求會重新導向至本機安全性授權單位 (LSA),以便使用 dMSA 進行驗證,該 dMSA 將有權存取與 AD 中先前帳戶相同的資源。 若要深入了解,請參閱委派受控服務帳戶概觀。
虛擬帳戶
虛擬帳戶是在 Windows Server 2008 R2 和 Windows 7 中引進的。 其是受管理的本機帳戶,藉由提供下列優點來簡化服務管理:
- 自動管理虛擬帳戶。
- 虛擬帳戶可以在網域環境中存取網路。
- 不需要管理密碼。 例如,如果在 Windows Server 2008 R2 上的 SQL Server 安裝期間,針對服務帳戶使用預設值,則會以 格式
NT SERVICE\<SERVICENAME>建立使用實例名稱作為服務名稱的虛擬帳戶。
以虛擬帳戶執行的服務,會利用電腦帳戶的認證,存取網路資源,格式為 <domain_name>\<computer_name>$。
若要瞭解如何設定和使用虛擬服務帳戶,請參閱 受控服務帳戶和虛擬帳戶概念。
注意
虛擬帳戶僅適用於本文開頭處「適用於」中列出的 Windows 作業系統。
選擇您的服務帳戶
服務帳戶可用來控制服務的本機和網路資源的存取,並協助確保服務可以安全且安全地運作,而不會將敏感性資訊或資源公開給未經授權的使用者。 若要檢視服務帳戶類型之間的差異,請參閱我們的比較數據表:
| 準則 | sMSA | gMSA | dMSA | 虛擬帳戶 |
|---|---|---|---|---|
| 應用程式在單一伺服器上執行 | Yes | .是 | .是 | Yes |
| 應用程式在多部伺服器上執行 | No | .是 | 無 | No |
| 應用程式在負載平衡器後方執行 | No | .是 | 無 | No |
| 應用程式會在 Windows Server 2008 R2 和更新版本上執行 | 是 | 無 | 無 | Yes |
| 將服務帳戶限制為單一伺服器的需求 | 是 | 無 | .是 | No |
| 支持連結至裝置身分識別的電腦帳戶 | No | 無 | .是 | No |
| 用於高安全性案例(防止認證收集) | No | 無 | .是 | No |
選擇服務帳戶時,請務必考慮服務所需的存取層級、伺服器上的安全策略,以及執行應用程式或服務的特定需求等因素。
sMSA:專為在單一計算機上使用而設計,sMSA 提供安全且簡化的方法來管理 SPN 和認證。 它們會自動管理密碼,非常適合用來隔離重要應用程式中的網域帳戶。 不過,無法在多部伺服器或伺服器叢集中使用它們。
gMSA:藉由支援多部伺服器來擴充 sMSA 的功能,使其適用於伺服器陣列和負載平衡的應用程式。 它們提供自動密碼和SPN管理,減輕系統管理負擔。 gMSA 提供單一身分識別解決方案,可讓服務順暢地跨多個實例進行驗證。
dMSA:將驗證連結至特定計算機身分識別,防止透過認證收集進行未經授權的存取,允許從具有完全隨機和受控密鑰的傳統服務帳戶進行轉換。 dMSA 可以取代現有的傳統服務帳戶,確保只有授權的裝置可以存取敏感性資源。
虛擬帳戶:受控本機帳戶,提供簡化的服務管理方法,而不需要手動密碼管理。 他們可以使用計算機帳戶的認證來存取網路資源,使其適用於需要網域存取的服務。 虛擬帳戶會自動管理,而且需要最少的設定。
另請參閱
| 內容類型 | 參考資料 |
|---|---|
| 產品評估 | 受管理服務帳戶的新功能 開始使用群組受管理的服務帳戶 |
| 部署 | Windows Server 2012:群組受管理的服務帳戶 - 技術社群 |
| 相關技術 | 安全性主體 Active Directory Domain Services 的新功能 |