Servicegebruikersaccounts
Elke service wordt uitgevoerd in de beveiligingscontext van een gebruikersaccount. De gebruikersnaam en het wachtwoord van een account worden opgegeven door de functie CreateService op het moment dat de service is geïnstalleerd. De gebruikersnaam en het wachtwoord kunnen worden gewijzigd met behulp van de functie ChangeServiceConfig. U kunt de functie QueryServiceConfig gebruiken om de gebruikersnaam (maar niet het wachtwoord) op te halen die is gekoppeld aan een serviceobject. De Service Control Manager (SCM) laadt automatisch het gebruikersprofiel.
Wanneer u een service start, meldt de SCM zich aan bij het account dat is gekoppeld aan de service. Als het aanmelden is geslaagd, produceert het systeem een toegangstoken en koppelt het aan het nieuwe serviceproces. Dit token identificeert het serviceproces in alle daaropvolgende interacties met beveiligbare objecten (objecten waaraan een beveiligingsdescriptor is gekoppeld). Als de service bijvoorbeeld probeert een ingang te openen naar een pijp, vergelijkt het systeem het toegangstoken van de service met de beveiligingsdescriptor van de pijp voordat toegang wordt verleend.
De SCM onderhoudt de wachtwoorden van servicegebruikersaccounts niet. Als een wachtwoord is verlopen, mislukt de aanmelding en kan de service niet worden gestart. De systeembeheerder die accounts toewijst aan services, kan accounts maken met wachtwoorden die nooit verlopen. De beheerder kan ook accounts beheren met wachtwoorden die verlopen met behulp van een serviceconfiguratieprogramma om de wachtwoorden periodiek te wijzigen.
Als een service een andere service moet herkennen voordat de gegevens worden gedeeld, kan de tweede service hetzelfde account gebruiken als de eerste service, of kan deze worden uitgevoerd in een account dat hoort bij een alias die wordt herkend door de eerste service. Services die op een gedistribueerde manier in het netwerk moeten worden uitgevoerd, moeten worden uitgevoerd in accounts voor het hele domein.
U kunt een van de volgende speciale accounts opgeven in plaats van een gebruikersaccount voor de service op te geven: