учетные записи служб;
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
Учетная запись службы — это учетная запись пользователя, созданная явным образом для предоставления контекста безопасности для служб, работающих в операционных системах Windows Server. Контекст безопасности определяет возможность службы получать доступ к локальным и сетевым ресурсам. Операционные системы Windows используют службы для выполнения различных функций. Эти службы можно настроить с помощью приложений, оснастки служб или диспетчера задач или с помощью Windows PowerShell.
В этой статье содержатся сведения о следующих типах учетных записей служб:
- Автономные управляемые учетные записи службы
- Учетные записи служб, управляемых группами
- Виртуальные учетные записи
Изолированные управляемые учетные записи служб
Управляемые учетные записи служб предназначены для изоляции учетных записей домена в критически важных приложениях, таких как службы IIS (IIS). Они устраняют необходимость администратора вручную администрировать имя субъекта-службы (SPN) и учетные данные для учетных записей.
Чтобы использовать управляемые учетные записи служб, сервер, на котором установлено приложение или служба, должен работать под управлением Windows Server 2008 R2 или более поздней версии. Одну управляемую учетную запись службы можно использовать для служб на одном компьютере. Управляемые учетные записи служб нельзя совместно использовать между несколькими компьютерами, и их нельзя использовать в кластерах серверов, где служба реплика на нескольких узлах кластера. Для этого сценария необходимо использовать управляемую группой учетную запись службы. Дополнительные сведения см. в обзоре учетных записей служб, управляемых группой.
Помимо повышенной безопасности, предоставляемой отдельными учетными записями для критически важных служб, существует четыре важных административных преимущества, связанных с управляемыми учетными записями служб:
Вы можете создать класс учетных записей домена, которые можно использовать для управления службами и обслуживания на локальных компьютерах.
В отличие от учетных записей домена, в которых администраторы должны вручную сбрасывать пароли, сетевые пароли для этих учетных записей автоматически сбрасываются.
Для использования управляемых учетных записей служб вам не нужно выполнять сложные задачи управления spN.
Вы можете делегировать административные задачи для управляемых учетных записей служб неадминистраторам.
Примечание.
Управляемые учетные записи служб применяются только к операционным системам Windows, перечисленным в разделе "Применимо к" в начале этой статьи.
Учетные записи служб, управляемых группами
Управляемые группой учетные записи служб — это расширение автономных управляемых учетных записей служб, которые были представлены в Windows Server 2008 R2. Эти учетные записи — это управляемые учетные записи домена, обеспечивающие автоматическое управление паролями и упрощенное управление именами субъекта-службы, включая делегирование управления другим администраторам.
Управляемая группой учетная запись службы предоставляет те же функции, что и автономная управляемая учетная запись службы в домене, но она расширяет эту функцию на нескольких серверах. При подключении к службе, размещенной на ферме серверов, например балансировке сетевой нагрузки, протоколы проверки подлинности, поддерживающие взаимную проверку подлинности, требуют, чтобы все экземпляры служб использовали один и тот же субъект. Если учетные записи служб, управляемые группой, используются в качестве субъектов-служб, операционная система Windows Server управляет паролем учетной записи вместо того, чтобы полагаться на администратора на управление паролем.
Служба распространения ключей Майкрософт (kdssvc.dll) предоставляет механизм безопасного получения последнего ключа или определенного ключа с идентификатором ключа для учетной записи Active Directory (AD). Эта служба появилась в Windows Server 2012, и она не работает в более ранних версиях операционной системы Windows Server. Служба распространения ключей предоставляет общий доступ к секрету, который используется для создания ключей для учетной записи. Эти ключи периодически изменяются. Для учетной записи службы, управляемой группой, контроллер домена вычисляет пароль для ключа, предоставленного службой распространения ключей, помимо других атрибутов управляемой группой учетной записи службы.
Управляемые группой практические приложения
Учетные записи служб, управляемые группой, предоставляют единое решение для удостоверений служб, работающих на ферме серверов или в системах, использующих балансировку нагрузки сети. Предоставляя решение для учетной записи, управляемой группой, службы можно настроить для субъекта-службы, управляемого группой, и управление паролями обрабатывается операционной системой.
С помощью учетной записи службы, управляемой группой, администраторы служб не должны управлять синхронизацией паролей между экземплярами служб. Учетная запись службы, управляемая группой, поддерживает узлы, которые хранятся в автономном режиме в течение длительного периода времени и управление узлами-членами для всех экземпляров службы. Эта подготовка означает, что вы можете развернуть ферму серверов, которая поддерживает одно удостоверение, к которому существующие клиентские компьютеры могут пройти проверку подлинности, не зная экземпляр службы, к которой они подключаются.
Отказоустойчивые кластеры не поддерживают управляемые группой учетные записи служб. Однако службы, которые выполняются поверх службы кластера, могут использовать учетную запись службы, управляемую группой, или отдельную управляемую учетную запись службы, если она является службой Windows, пулом приложений или запланированной задачей, или если они изначально поддерживают управляемые группы учетные записи служб или автономные управляемые учетные записи служб.
Требования к программному обеспечению, управляемому группой
Учетные записи служб под управлением группы можно настроить и администрировать только на компьютерах под управлением Windows Server 2012 или более поздней версии. Но учетные записи можно развернуть в качестве единого решения удостоверения службы в доменах, которые по-прежнему имеют контроллеры домена, работающие в операционных системах раньше Windows Server 2012. Требований к режиму работы домена или леса не существует.
64-разрядная архитектура необходима для выполнения команд Windows PowerShell, которые используются для администрирования учетных записей служб, управляемых группой.
Управляемая учетная запись службы зависит от типов шифрования, поддерживаемых Kerberos. Когда клиентский компьютер проходит проверку подлинности на сервере с помощью протокола Kerberos, контроллер домена создает билет службы Kerberos, защищенный шифрованием, поддерживаемым контроллером домена и сервером. Контроллер домена использует атрибут msDS-SupportedEncryptionTypes учетной записи, чтобы определить, какое шифрование поддерживает сервер. Если атрибут отсутствует, предполагается, что клиентский компьютер не поддерживает более строгие типы шифрования. Стандарт расширенного шифрования (AES) всегда должен быть настроен для управляемых учетных записей служб. Если компьютеры, на которых размещена управляемая учетная запись службы, не поддерживают RC4, проверка подлинности всегда завершается ошибкой.
Примечание.
Представлено в Windows Server 2008 R2, стандарт шифрования данных (DES) по умолчанию отключен. Учетные записи служб, управляемые группой, не применимы в операционных системах Windows до Windows Server 2012.
Дополнительные сведения о поддерживаемых типах шифрования см. в статье Изменения в проверке подлинности Kerberos.
Делегированные управляемые учетные записи служб
В Windows Server 2025 добавлен новый тип учетной записи, называемой делегированной управляемой учетной записью службы (dMSA), теперь поддерживается. Этот тип учетной записи позволяет пользователям переходить с традиционных учетных записей служб на учетные записи компьютеров, которые имеют управляемые и полностью случайные ключи, а также отключать пароли исходных учетных записей службы. Проверка подлинности для dMSA связана с удостоверением устройства, что означает, что только указанные удостоверения компьютера, сопоставленные в AD, могут получить доступ к учетной записи. С помощью dMSA пользователи могут предотвратить общую проблему сбора учетных данных с помощью скомпрометированных учетных записей, связанных с традиционными учетными записями служб.
У пользователей есть возможность создать dMSA в качестве автономной учетной записи или заменить существующую стандартную учетную запись службы на нее. Если существующая учетная запись заменена dMSA, проверка подлинности с помощью пароля старой учетной записи блокируется. Вместо этого запрос перенаправляется в локальный центр безопасности (LSA) для проверки подлинности с помощью dMSA, который будет иметь доступ к тем же ресурсам, что и предыдущая учетная запись в AD. Дополнительные сведения см. в обзоре делегированных управляемых учетных записей служб.
Виртуальные учетные записи
Виртуальные учетные записи появились в Windows Server 2008 R2 и Windows 7. Они управляются локальными учетными записями, упрощающими администрирование служб, предоставляя следующие преимущества:
- Виртуальная учетная запись автоматически управляется.
- Виртуальная учетная запись может получить доступ к сети в среде домена.
- Управление паролями не требуется. Например, если значение по умолчанию используется для учетных записей служб во время установки SQL Server в Windows Server 2008 R2, виртуальная учетная запись, которая использует имя экземпляра в качестве имени службы, устанавливается в формате NT SERVICE\<SERVICENAME>.
Службы, работающие в качестве виртуальных учетных записей, обращаются к сетевым ресурсам с помощью учетных данных учетной записи компьютера в формате <domain_name>\<computer_name>$.
Сведения о настройке и использовании учетных записей виртуальных служб см . в пошаговом руководстве по учетным записям служб.
Примечание.
Виртуальные учетные записи применяются только к операционным системам Windows, перечисленным в разделе "Применимо к" в начале этой статьи.
См. также
Сведения о других ресурсах, связанных с автономными управляемыми учетными записями служб, учетными записями служб, управляемыми группами, и виртуальными учетными записями, см. в статье: