使用網域使用者帳戶作為服務登入帳戶

注意

下列檔適用于開發人員。 如果您是使用者，正在尋找涉及網域使用者帳戶的錯誤訊息相關資訊，請參閱 Microsoft 社群論壇。 如需管理網域使用者帳戶的資訊，請參閱 TechNet。

網域使用者帳戶可讓服務充分利用 Windows 和 Microsoft Active Directory Domain Services 的服務安全性功能。 服務會授與帳戶的任何本機和網路存取權，或帳戶所屬的任何群組。 服務可以支援 Kerberos 相互驗證。

使用網域使用者帳戶的優點是，服務的動作受限於與帳戶相關聯的存取權限和許可權。 LocalSystem不同于服務，使用者帳戶服務中的 Bug 無法損毀系統。 如果服務遭到安全性攻擊入侵，則損毀會與系統允許使用者帳戶執行的作業隔離。 同時，以不同許可權等級執行的用戶端可以連線到服務，這可讓服務模擬用戶端來執行敏感性作業。

服務的使用者帳戶不應該是本機、網域或企業之任何系統管理員群組的成員。 如果您的服務需要本機系統管理許可權，請在帳戶下 LocalSystem 執行。 對於需要網域系統管理許可權的作業，請模擬用戶端應用程式的安全性內容來執行這些作業。

使用網域使用者帳戶的服務實例需要週期性系統管理動作，才能維護帳戶密碼。 服務控制管理員 (服務實例主機電腦上的 SCM) 會快取帳戶密碼，以用於登入服務。 當您變更帳戶密碼時，也必須在安裝服務的主機電腦上更新快取的密碼。 如需詳細資訊和程式碼範例，請參閱 變更服務使用者帳戶的密碼。 您可以藉由讓密碼保持不變來避免定期維護，但這會增加服務帳戶上密碼攻擊的可能性。 請注意，即使 SCM 會將密碼儲存在登錄的安全部分，但仍會受到攻擊。

網域使用者帳戶有兩種名稱格式：目錄中使用者物件的辨別名稱，以及本機服務控制管理員所使用的 「 < domain > \ < username > 」 格式。 如需詳細資訊，以及從某個格式轉換成另一種格式的程式碼範例，請參閱 轉換功能變數名稱格式。