Informazioni sugli account di accesso al servizio

All'avvio di un servizio basato su Win32, accede al computer locale. Può accedere come:

• Un account utente locale o di dominio.
• Account LocalSystem.

L'account di accesso determina l'identità di sicurezza del servizio in fase di esecuzione, ovvero il contesto di sicurezza principale del servizio. Il contesto di sicurezza determina la capacità del servizio di accedere alle risorse locali e di rete. Ad esempio, un servizio in esecuzione nel contesto di sicurezza di un account utente locale non può accedere alle risorse di rete. Viceversa, un servizio in esecuzione nel contesto di sicurezza dell'account LocalSystem in un controller di dominio di Windows 2000 avrà accesso illimitato al controller di dominio. Per altre informazioni e una descrizione dei vantaggi e delle limitazioni tra gli account utente e LocalSystem, vedere Contesti di sicurezza e servizi Dominio di Active Directory.

In definitiva, gli amministratori nel sistema in cui è installato il servizio hanno il controllo sull'account di accesso del servizio. Per motivi di sicurezza, alcuni amministratori potrebbero non consentire l'installazione del servizio nell'account LocalSystem. Il servizio deve essere in grado di essere eseguito con un account utente di dominio. I programmatori possono esercitare un certo controllo sull'account di accesso del servizio. Il programma di installazione del servizio specifica l'account di accesso del servizio quando chiama la funzione CreateService per installare il servizio in un computer host. Il programma di installazione può suggerire un account di accesso predefinito, ma deve consentire a un amministratore di specificare l'account effettivo.

Il programma di installazione può anche eseguire le attività seguenti relative all'account di accesso del servizio:

• Installazione. Se si installa il servizio per l'esecuzione con un account utente, è necessario che l'account esista prima di chiamare CreateService. È possibile usare un account esistente o crearne uno come parte del programma di installazione del computer host. Per altre informazioni, vedere Configurazione dell'account utente di un servizio.
• Autenticazione. Se si vuole che i client usino l'autenticazione reciproca Kerberos, registrare i nomi SPN nell'account di accesso del servizio. Se il servizio viene eseguito con l'account LocalSystem, l'account di accesso del servizio è l'account computer del computer host. Per altre informazioni vedere Service Principal Names (Nomi di entità servizio).
• Concedere l'accesso. Assicurarsi che il servizio in fase di esecuzione disponga dei diritti di accesso e dei privilegi necessari per eseguire le attività. Ciò può richiedere l'impostazione delle voci di controllo di accesso (ACL) nei descrittori di sicurezza di varie risorse, ovvero oggetti directory, condivisioni file e così via, per consentire i diritti di accesso necessari all'account utente o computer. Per altre informazioni, vedere Concessione dei diritti di accesso all'account di accesso al servizio.
• Impostare privilegi. Assegnare privilegi all'account di accesso specificato, ad esempio il diritto di accesso come servizio al computer host. Per altre informazioni, vedere Concessione del diritto di accesso come servizio nel computer host.

Dopo l'installazione di un servizio, sono presenti attività di manutenzione correlate all'account di accesso al servizio. Per altre informazioni, vedere Attività di manutenzione account di accesso.

• Manutenzione delle password. Per un servizio eseguito con un account utente, è necessario modificare periodicamente la password e mantenere la password sincronizzata con la password usata da uno o più gestori del controllo del servizio locale per avviare il servizio.
• Manutenzione SPN. Se un account di accesso al servizio cambia, rimuovere i nomi SPN registrati nell'account precedente e registrarli nel nuovo account. Tenere presente che quando viene installato un servizio, un amministratore di dominio può modificare l'account in cui viene eseguito il servizio; usare le funzioni Win32 o l'interfaccia utente dello strumento di amministrazione gestione computer.
• Manutenzione ACE. Se un account di accesso al servizio cambia, è necessario aggiornare gli ACL e le appartenenze ai gruppi per assicurarsi che il servizio possa comunque accedere alle risorse necessarie.