Megosztás a következőn keresztül:

Tudnivalók a szolgáltatás-bejelentkezési fiókokról

  • Cikk

Amikor elindul egy Win32-alapú szolgáltatás, bejelentkezik a helyi számítógépre. A következő módon tud bejelentkezni:

  • Helyi vagy tartományi felhasználói fiók.
  • A LocalSystem-fiók.

A bejelentkezési fiók futásidőben határozza meg a szolgáltatás biztonsági identitását, vagyis a szolgáltatás elsődleges biztonsági környezetét. A biztonsági környezet határozza meg, hogy a szolgáltatás képes-e hozzáférni a helyi és a hálózati erőforrásokhoz. Egy helyi felhasználói fiók biztonsági környezetében futó szolgáltatás például nem fér hozzá a hálózati erőforrásokhoz. Ezzel szemben a Windows 2000 tartományvezérlőn (DC) futó LocalSystem-fiók biztonsági környezetében futó szolgáltatás korlátlan hozzáféréssel rendelkezne a tartományvezérlőhöz. További információkért, valamint a felhasználói fiókok és a LocalSystem közötti előnyökről és korlátozásokról a biztonsági környezetek és az Active Directory Domain Servicescímű témakörben olvashat.

Végső soron azon a rendszeren, ahol a szolgáltatás telepítve van, a rendszergazdák szabályozhatják a szolgáltatás bejelentkezési fiókját. Biztonsági okokból előfordulhat, hogy egyes rendszergazdák nem engedélyezik a szolgáltatás telepítését a LocalSystem-fiókban. A szolgáltatásnak tartományi felhasználói fiók alatt kell futnia. Programozóként némi vezérlést gyakorolhat a szolgáltatás bejelentkezési fiókja felett. A szolgáltatás telepítője megadja a szolgáltatás bejelentkezési fiókját, amikor meghívja a CreateService függvényt a szolgáltatás gazdagépre való telepítéséhez. A telepítő javasolhat egy alapértelmezett bejelentkezési fiókot, de lehetővé kell tenni a rendszergazda számára a tényleges fiók megadását.

A telepítő a következő feladatokat is el tudja végezni a szolgáltatás bejelentkezési fiókjával kapcsolatban:

  • Telepítés. Ha a szolgáltatást úgy telepíti, hogy felhasználói fiók alatt fusson, a fióknak léteznie kell, mielőtt meghívja CreateService. Használhat meglévő fiókot, vagy létrehozhat egyet a gazdagép-számítógép telepítőjének részeként. További információ: Szolgáltatás felhasználói fiókjának beállítása.
  • Hitelesítés. Ha azt szeretné, hogy az ügyfelek Kerberos kölcsönös hitelesítést használjanak, regisztrálja a szolgáltatásneveket (SPN-eket) a szolgáltatás bejelentkezési fiókjában. Ha a szolgáltatás a LocalSystem-fiók alatt fut, a szolgáltatás bejelentkezési fiókja a gazdaszámítógép számítógépfiókja. További információ: szolgáltatásfőnevek.
  • Hozzáférés engedélyezése. Győződjön meg arról, hogy a szolgáltatás futásidőben rendelkezik a feladatai elvégzéséhez szükséges hozzáférési jogosultságokkal és jogosultságokkal. Ehhez hozzáférés-vezérlési bejegyzéseket (ACE-ket) kell beállítani a különböző erőforrások biztonsági leíróiban, azaz a címtárobjektumokban, fájlmegosztásokban stb. ahhoz, hogy engedélyezhető legyen a felhasználói vagy számítógépfiókhoz szükséges hozzáférési jogosultság. További információ: Hozzáférési jogosultságok biztosítása a szolgáltatás bejelentkezési fiókjának.
  • Jogosultságok beállítása. Jogosultságok hozzárendelése a megadott bejelentkezési fiókhoz, például a szolgáltatásként való bejelentkezés joga a gazdaszámítógépre. További információ: Bejelentkezés engedélyezése szolgáltatásjogként a gazdaszámítógépen.

A szolgáltatás telepítése után vannak karbantartási feladatok, amelyek a szolgáltatás bejelentkezési fiókjához kapcsolódnak. További információért lásd a következőket: bejelentkezési fiókkarbantartási feladatok.

  • Jelszókarbantartás. Felhasználói fiók alatt futó szolgáltatások esetén rendszeresen módosítania kell a jelszót, és szinkronban kell tartania a jelszót azzal a jelszóval, amelyet egy vagy több helyi szolgáltatásvezérlő-kezelő használ a szolgáltatás elindításához.
  • SPN-karbantartás. Ha megváltozik a szolgáltatás bejelentkezési fiókja, távolítsa el a régi fiókban bejegyzett SPN-eket, és jegyezze be őket az új fiókba. Vegye figyelembe, hogy egy szolgáltatás telepítésekor a tartományi rendszergazda módosíthatja azt a fiókot, amely alatt a szolgáltatás fut; Win32-függvényeket vagy a Számítógép-kezelés felügyeleti eszköz felhasználói felületét használhatja.
  • ACE-karbantartás. Ha megváltozik egy szolgáltatás bejelentkezési fiókja, frissítenie kell az ACL-eket és a csoporttagságokat, hogy a szolgáltatás továbbra is hozzáférhessen a szükséges erőforrásokhoz.