服務登入帳戶

服務，就像任何進程一樣，具有主要安全性身分識別，可決定本機和網路資源的已授與訪問許可權和許可權。 此安全性身分識別或安全性內容也會判斷服務對於損害本機和網路資源的潛在影響。

Microsoft Win32 服務的安全性內容取決於用來啟動服務的登入帳戶。 本節討論與 Win32 服務所使用的服務登入帳戶相關的程式設計問題和最佳做法，並著重於已啟用目錄的服務。 本節包含下列主題：

• 關於服務登入帳戶 — Win32 服務的服務登入帳戶和安全性內容程式設計問題概觀。
• 為 Win32 服務選取服務登入帳戶 的指導方針。
• 設定服務的用戶帳戶。
• 在主計算機上安裝 服務，並指定服務登入帳戶。
• 在主計算機上授與登入即服務許可權— 將登入為主計算機上的服務許可權授與服務的用戶帳戶。
• 測試是否在域控制器上執行 — 在安裝時間偵測服務實例是否安裝在域控制器上。
• 將存取權授與服務登入帳戶—設定和維護 ACE 和群組成員資格，以確保系統會將執行中的服務存取權授與必要的本機和網路資源。
• 變更服務用戶帳戶上的密碼 — 變更服務用戶帳戶上的密碼，同時更新在安裝服務之每部主伺服器上向服務控制管理員註冊的密碼。
• 使用 Kerberos 進行相互驗證 — 維護服務主體名稱 （SPN） 與服務每個實例之登入帳戶相關聯的目錄物件上註冊。 SPN 可讓用戶端使用 Kerberos 相互驗證來驗證服務。
• 轉換功能變數名稱格式：例如，將辨別名稱轉換為 Domain**\**UserName 格式，反之亦然。