Account di accesso al servizio

Un servizio, come qualsiasi processo, ha un'identità di sicurezza primaria che determina i diritti di accesso e i privilegi concessi per le risorse locali e di rete. Questa identità di sicurezza, o contesto di sicurezza, determina anche il potenziale che il servizio ha per danneggiare le risorse locali e di rete.

Il contesto di sicurezza per un servizio Microsoft Win32 è determinato dall'account di accesso usato per avviare il servizio. Questa sezione illustra i problemi di programmazione e le procedure consigliate relative all'account di accesso al servizio usato dai servizi Win32, con particolare attenzione ai servizi abilitati alla directory. Questa sezione include gli argomenti seguenti:

• Informazioni sugli account di accesso al servizio: panoramica degli account di accesso al servizio e dei problemi di programmazione del contesto di sicurezza per un servizio Win32.
• Linee guida per la selezione di un account di accesso al servizio per un servizio Win32.
• Configurazione dell'account utente di un servizio.
• Installazione di un servizio in un computer host e specifica dell'account di accesso del servizio.
• Concessione del diritto di accesso come servizio nel computer host: concessione dell'account utente del servizio all'accesso come servizio direttamente nel computer host.
• Verifica dell'esecuzione in un controller di dominio: rilevamento in fase di installazione se l'istanza del servizio viene installata in un controller di dominio.
• Concessione dei diritti di accesso all'account di accesso del servizio: impostazione e gestione di ACL e appartenenze ai gruppi per garantire che il sistema conceda al servizio in esecuzione l'accesso alle risorse locali e di rete necessarie.
• Modifica della password nell'account utente di un servizio: modifica della password nell'account utente di un servizio e contemporaneamente aggiornamento della password registrata con il gestore di controllo del servizio in ogni server host in cui è installato il servizio.
• Autenticazione reciproca tramite Kerberos: gestione della registrazione del nome dell'entità servizio (SPN) nell'oggetto directory associato all'account di accesso di ogni istanza del servizio. I nomi SPN consentono ai client di autenticare un servizio usando l'autenticazione reciproca Kerberos.
• Conversione dei formati di nome account di dominio: ad esempio, la conversione di un nome distinto in formato Domain**\**UserName e viceversa.