Dienst Anmeldekonten
Ein Dienst hat wie ein beliebiger Prozess eine primäre Sicherheitsidentität, die die gewährten Zugriffsrechte und Berechtigungen für lokale und Netzwerkressourcen bestimmt. Diese Sicherheitsidentität oder der Sicherheitskontext bestimmt auch das Potenzial, das der Dienst für schädliche lokale Ressourcen und Netzwerkressourcen hat.
Der Sicherheitskontext für einen Microsoft Win32-Dienst wird durch das Anmelde Konto bestimmt, das zum Starten des Diensts verwendet wird. In diesem Abschnitt werden Programmierprobleme und bewährte Methoden im Zusammenhang mit dem Dienst Anmelde Konto erläutert, das von Win32-Diensten verwendet wird, wobei der Schwerpunkt auf Verzeichnis aktivierten Diensten liegt. Dieser Abschnitt schließt folgende Themen ein:
- Informationen zu Dienst Anmeldekonten– eine Übersicht über Dienst Anmeldekonten und Probleme beim Programmieren von Sicherheits Kontexten für einen Win32-Dienst.
- Richtlinien für das Auswählen eines Dienst Anmelde Kontos für einen Win32-Dienst.
- Einrichten des Benutzerkontos eines Dienstanbieter.
- Installieren eines Diensts auf einem Host Computer und angeben des Dienst Anmelde Kontos.
- Gewähren der Berechtigung " Anmelden als Dienst" auf dem Host Computer– gewähren des Benutzerkontos "Anmelden als Dienst" auf dem Host Computer für das Benutzerkonto des Diensts.
- Testen, ob auf einem Domänen Controller ausgeführtwird – erkennen, ob die Dienst Instanz auf einem Domänen Controller installiert ist.
- Erteilen von Zugriffsrechten für das Dienst Anmelde Konto– festlegen und Verwalten von ACEs und Gruppenmitgliedschaften, um sicherzustellen, dass das System dem laufenden Dienst Zugriff auf die erforderlichen lokalen Ressourcen und Netzwerkressourcen gewährt.
- Ändern des Kennworts für das Benutzerkonto eines Diensts– Ändern des Kennworts für das Benutzerkonto eines Diensts und gleichzeitigem Aktualisieren des Kennworts, das mit dem Dienststeuerungs-Manager auf jedem Host Server registriert ist, auf dem der Dienst installiert ist.
- Gegenseitige Authentifizierung mithilfe von Kerberos– Wartung der Dienst Prinzipal Namen-Registrierung (SPN) für das Verzeichnis Objekt, das dem Anmelde Konto der einzelnen Instanzen Ihres Diensts zugeordnet ist. Mithilfe von SPNs können Clients einen Dienst mithilfe der gegenseitigen Kerberos-Authentifizierung authentifizieren.
- Das Umrechnen von Domänen Konto-namens Formaten– z. b. das Umbenennen eines Distinguished Name in das Domänen \ Benutzernamen Format und umgekehrt