Comptes de service
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Un compte de service est un compte d’utilisateur créé explicitement pour fournir un contexte de sécurité aux services qui s’exécutent sur les systèmes d’exploitation Windows Server. Le contexte de sécurité détermine la capacité du service à accéder aux ressources locales et réseau. Les systèmes d’exploitation Windows s’appuient sur des services pour exécuter diverses fonctionnalités. Ces services peuvent être configurés par les applications, le composant logiciel enfichable Services ou le Gestionnaire des tâches, ou en utilisant Windows PowerShell.
Cet article contient des informations sur les types de comptes de service suivants :
Comptes de service géré autonomes
Les comptes de service administrés sont conçus pour isoler les comptes de domaine dans des applications cruciales, comme Internet Information Services (IIS). Ils évitent à l’administrateur d’administrer manuellement le nom du principal de service (SPN) et les informations d’identification des comptes.
Pour utiliser des comptes de service administrés, le serveur sur lequel l’application ou le service est installé doit exécuter Windows Server 2008 R2 ou version ultérieure. Un seul compte de service administré par ordinateur peut être utilisé pour les services. Les comptes de services administrés ne peuvent pas être partagés entre plusieurs ordinateurs ni être utilisés dans des clusters de serveurs si un service est répliqué sur plusieurs nœuds de cluster. Pour ce scénario, vous devez utiliser un compte de service administré de groupe. Pour plus d’informations, consultez Vue d’ensemble des comptes de service administrés de groupe.
En plus d’une sécurité renforcée par l’existence de comptes individuels pour les services stratégiques, les comptes de services administrés présentent quatre avantages importants en termes d’administration :
Vous pouvez créer une classe de comptes de domaine qui peut être utilisée pour gérer les services sur des ordinateurs locaux.
Contrairement aux comptes de domaine dont les mots de passe doivent être réinitialisés manuellement par les administrateurs, les mots de passe réseau de ces comptes sont automatiquement réinitialisés.
Vous n’avez pas besoin d’effectuer des tâches de gestion SPN complexes pour utiliser des comptes de service administrés.
Vous pouvez déléguer les tâches d’administration des comptes de service administrés à des utilisateurs non administrateurs.
Notes
Les comptes de service administrés s’appliquent uniquement aux systèmes d’exploitation Windows listés dans la section « S’applique à » au début de cet article.
Comptes de service administrés de groupe
Les comptes de service administrés de groupe sont une extension des comptes de service administrés autonomes, qui ont été introduits dans Windows Server 2008 R2. Ce sont des comptes de domaine administrés qui fournissent une gestion automatique des mots de passe et une gestion simplifiée du SPN, y compris la délégation de la gestion à d’autres administrateurs.
Un compte de service administré de groupe offre les mêmes fonctionnalités que le compte de service administré autonome dans le domaine, mais les étend sur plusieurs serveurs. Quand vous vous connectez à un service hébergé sur une batterie de serveurs, comme l’équilibrage de la charge réseau, les protocoles d’authentification prenant en charge l’authentification mutuelle nécessitent que toutes les instances des services utilisent le même principal. Quand les comptes de service administrés de groupe sont utilisés comme principaux de service, le système d’exploitation Windows Server gère le mot de passe du compte à la place de l’administrateur.
Le service de distribution de clés Microsoft (kdssvc.dll) fournit le mécanisme nécessaire pour obtenir en toute sécurité la dernière clé ou une clé spécifique avec un identificateur de clé d’un compte Active Directory (AD). Ce service a été introduit dans Windows Server 2012 et il ne s’exécute pas sur les versions antérieures du système d’exploitation Windows Server. Le service de distribution de clés partage un secret qui sert à créer des clés pour le compte. Ces clés sont modifiées périodiquement. Pour un compte de service administré de groupe, le contrôleur de domaine calcule le mot de passe sur la clé fournie par le service de distribution de clés, en plus d’autres attributs du compte de service administré de groupe.
Applications pratiques des comptes administrés de groupe
Les comptes de service administrés de groupe fournissent la même solution d’identité pour les services qui s’exécutent dans une batterie de serveurs ou sur des systèmes utilisant un équilibrage de la charge réseau. Avec une solution de compte de service administré de groupe, les services peuvent être configurés pour le principal du compte de service administré de groupe, et la gestion des mots de passe est gérée par le système d’exploitation.
En utilisant un compte de service administré de groupe, les administrateurs de service n’ont pas besoin de gérer la synchronisation des mots de passe entre les instances de service. Le compte de service administré de groupe prend en charge les hôtes qui sont hors connexion pour une durée prolongée, ainsi que la gestion des hôtes membres pour toutes les instances d’un service. Ce provisionnement signifie que vous pouvez déployer une batterie de serveurs qui prend en charge une seule identité avec laquelle les ordinateurs clients existants peuvent s’authentifier sans connaître l’instance de service à laquelle ils se connectent.
Les clusters de basculement ne prennent pas en charge les comptes de service administrés de groupe. Toutefois, les services qui s’exécutent sur le service de cluster peuvent utiliser un compte de service administré de groupe ou un compte de service administré autonome s’ils sont un service Windows, un pool d’applications ou une tâche planifiée, ou s’ils prennent en charge en mode natif les comptes de service administrés de groupe ou les comptes de service administrés autonomes.
Exigences logicielles des comptes administrés de groupe
Les comptes de service administrés de groupe peuvent être configurés et administrés uniquement sur les ordinateurs qui exécutent Windows Server 2012 ou version ultérieure. Toutefois, les comptes peuvent être déployés sous forme de solution d’identité de service dans les domaines qui ont encore des contrôleurs de domaine exécutant des systèmes d’exploitation antérieurs à Windows Server 2012. Il n’existe aucune condition requise en ce qui concerne le niveau fonctionnel de forêt ou de domaine.
Une architecture 64 bits est nécessaire afin d’exécuter les commandes Windows PowerShell utilisées pour administrer les comptes de service administrés de groupe.
Un compte de service administré dépend des types de chiffrement pris en charge par Kerberos. Quand un ordinateur client s’authentifie sur un serveur avec le protocole Kerberos, le contrôleur de domaine crée un ticket de service Kerberos protégé par un chiffrement pris en charge par le contrôleur de domaine et le serveur. Le contrôleur de domaine utilise l’attribut msDS-SupportedEncryptionTypes du compte pour déterminer le chiffrement pris en charge par le serveur. S'il n'y a pas d'attribut, il suppose que l'ordinateur client ne prend pas en charge des types de chiffrement plus puissants. AES (Advanced Encryption Standard) doit toujours être configuré pour les comptes de service administrés. Si les ordinateurs qui hébergent le compte de service administré sont configurés pour ne pas prendre en charge RC4, l’authentification échoue toujours.
Notes
Introduit dans Windows Server 2008 R2, le chiffrement de données standard (DES) est désactivé par défaut. Les comptes de service administrés de groupe ne s’appliquent aux systèmes d’exploitation Windows antérieurs à Windows Server 2012.
Pour plus d’informations sur les types de chiffrement pris en charge, voir Modifications apportées à l’authentification Kerberos.
Comptes de services gérés délégués
Introduit dans Windows Server 2025, l'ajout d'un nouveau type de compte appelé delegated Managed Service Account (dMSA) est désormais pris en charge. Ce type de compte permet aux utilisateurs de passer de comptes de service traditionnels à des comptes de machine dotés de clés gérées et entièrement aléatoires, tout en désactivant les mots de passe des comptes de service d'origine. L’authentification pour dMSA est liée à l’identité de l’appareil, ce qui signifie que seules les identités de machine spécifiées mappées dans AD peuvent accéder au compte. En utilisant dMSA, les utilisateurs peuvent éviter le problème courant de la collecte d'informations d'identification à l'aide d'un compte compromis qui est associé à des comptes de service traditionnels.
Les utilisateurs ont la possibilité de créer un dMSA en tant que compte autonome ou de remplacer un compte de service standard existant par un dMSA. Si un compte existant est remplacé par un dMSA, l'authentification à l'aide du mot de passe de l'ancien compte est bloquée. Au lieu de cela, la requête est redirigée vers l'autorité de sécurité locale (LSA) pour l'authentification à l'aide du dMSA, qui aura accès aux mêmes ressources que le compte précédent dans AD. Pour en savoir plus, consultez Vue d’ensemble des Comptes de Service Managé Délégué.
Comptes virtuels
Les comptes virtuels ont été introduits dans Windows Server 2008 R2 et Windows 7. Il s'agit de comptes locaux gérés qui simplifient l'administration des services en offrant les avantages suivants :
- Le compte virtuel est administré automatiquement.
- Le compte virtuel peut accéder au réseau dans un environnement de domaine.
- Aucune gestion des mots de passe n'est requise. Par exemple, si la valeur par défaut est utilisée pour les comptes de service pendant la configuration de SQL Server sur Windows Server 2008 R2, un compte virtuel qui utilise le nom de l’instance comme nom de service est établi au format NT SERVICE\<SERVICENAME>.
Les services qui s’exécutent comme des comptes virtuels accèdent aux ressources réseau en utilisant les informations d’identification du compte de l’ordinateur au format <domain_name>\<computer_name>$.
Pour savoir comment configurer et utiliser des comptes de service virtuels, consultez Guide pas à pas des comptes de service.
Notes
Les comptes virtuels s’appliquent uniquement aux systèmes d’exploitation Windows listés dans la section « S’applique à » au début de cet article.
Voir aussi
Pour obtenir d’autres ressources liées aux comptes de service administrés autonomes, aux comptes de service administrés de groupe et aux comptes virtuels, consultez :
| Type de contenu | Références |
|---|---|
| Évaluation du produit | Nouveautés des comptes de service administrés Bien démarrer avec les comptes de service administrés de groupe |
| Déploiement | Windows Server 2012: Group-managed service accounts - Ask Premier Field Engineering (PFE) Platforms - Site Home - TechNet Blogs |
| Technologies associées | Principaux de sécurité Nouveautés Active Directory Domain Services |