Utilisation d’un compte d’utilisateur de domaine en tant que compte d’ouverture de session de service
Notes
La documentation suivante est destinée aux développeurs. Si vous êtes un utilisateur final à la recherche d’informations sur un message d’erreur impliquant des comptes d’utilisateur de domaine, consultez les forums de la communauté Microsoft. Pour plus d’informations sur la gestion des comptes d’utilisateur de domaine, consultez TechNet.
Un compte d’utilisateur de domaine permet au service de tirer pleinement parti des fonctionnalités de sécurité du service de Windows et de Microsoft Active Directory Domain Services. Le service dispose de tout accès local et réseau accordé au compte ou à tous les groupes dont le compte est membre. Le service peut prendre en charge l’authentification mutuelle Kerberos.
L’avantage de l’utilisation d’un compte d’utilisateur de domaine est que les actions du service sont limitées par les droits d’accès et les privilèges associés au compte. Contrairement à un LocalSystem service, les bogues dans un service de compte d’utilisateur ne peuvent pas endommager le système. Si le service est compromis par une attaque de sécurité, les dommages sont isolés pour les opérations que le système permet au compte d’utilisateur d’effectuer. En même temps, les clients s’exécutant à différents niveaux de privilèges peuvent se connecter au service, ce qui permet au service d’emprunter l’identité d’un client pour effectuer des opérations sensibles.
Le compte d’utilisateur d’un service ne doit pas être membre d’un groupe d’administrateurs local, de domaine ou d’entreprise. Si votre service a besoin de privilèges d’administration locale, exécutez-le sous le LocalSystem compte. Pour les opérations qui nécessitent des privilèges d’administration de domaine, effectuez-les en empruntant l’identité du contexte de sécurité d’une application cliente.
Un instance de service qui utilise un compte d’utilisateur de domaine nécessite une action administrative périodique pour conserver le mot de passe du compte. Le gestionnaire de contrôle de service (SCM) sur l’ordinateur hôte d’un service instance met en cache le mot de passe du compte pour l’utiliser dans la journalisation sur le service. Lorsque vous modifiez le mot de passe du compte, vous devez également mettre à jour le mot de passe mis en cache sur l’ordinateur hôte sur lequel le service est installé. Pour plus d’informations et un exemple de code, consultez Modification du mot de passe sur le compte d’utilisateur d’un service. Vous pouvez éviter la maintenance régulière en laissant le mot de passe inchangé, mais cela augmenterait la probabilité d’une attaque de mot de passe sur le compte de service. N’oubliez pas que même si le SCM stocke le mot de passe dans une partie sécurisée du registre, il fait néanmoins l’objet d’une attaque.
Un compte d’utilisateur de domaine a deux formats de nom : le nom unique de l’objet utilisateur dans le répertoire et le format «< domaine>\<nom d’utilisateur> » utilisé par le gestionnaire de contrôle de service local. Pour plus d’informations et un exemple de code qui convertit d’un format à l’autre, consultez Conversion des formats de nom de compte de domaine.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour