Udostępnij za pośrednictwem

Informacje o kontach logowania do usługi

  • Artykuł

Po uruchomieniu usługi opartej na systemie Win32 następuje zalogowanie na komputerze lokalnym. Może się zalogować jako:

  • Konto użytkownika lokalnego lub domeny.
  • Konto LocalSystem.

Konto, za pomocą którego następuje logowanie, określa tożsamość zabezpieczeń usługi w czasie wykonywania, czyli podstawowy kontekst zabezpieczeń usługi. Kontekst zabezpieczeń określa zdolność usługi do uzyskiwania dostępu do zasobów lokalnych i sieciowych. Na przykład usługa uruchomiona w kontekście zabezpieczeń konta użytkownika lokalnego nie może uzyskać dostępu do zasobów sieciowych. Z drugiej strony, usługa uruchomiona w kontekście zabezpieczeń konta LocalSystem na kontrolerze domeny systemu Windows 2000 (DC) miałaby nieograniczony dostęp do DC. Aby uzyskać więcej informacji oraz omówienie korzyści i ograniczeń związanych z kontami użytkowników i Systemem lokalnym, zobacz Konteksty zabezpieczeń i usługi Active Directory Domain Services.

Ostatecznie administratorzy systemu, w którym zainstalowano usługę, mają kontrolę nad kontem logowania usługi. Ze względów bezpieczeństwa niektórzy administratorzy mogą nie zezwalać na instalowanie usługi na koncie LocalSystem. Usługa musi być w stanie działać w ramach konta użytkownika domeny. Jako programista możesz przejąć pewną kontrolę nad kontem logowania usługi. Instalator usługi określa konto logowania usługi, gdy wywołuje funkcję CreateService w celu zainstalowania usługi na komputerze hosta. Instalator może sugerować domyślne konto logowania, ale powinien zezwolić administratorowi na określenie rzeczywistego konta.

Instalator może również wykonywać następujące zadania związane z kontem logowania usługi:

  • Instalacja. Jeśli zainstalujesz usługę do uruchomienia na koncie użytkownika, konto musi istnieć przed wywołaniem CreateService. Możesz użyć istniejącego konta lub utworzyć je jako część instalatora komputera-hosta. Aby uzyskać więcej informacji, zobacz Konfigurowanie konta użytkownika usługi.
  • Uwierzytelnianie. Jeśli chcesz, aby klienci używali wzajemnego uwierzytelniania Kerberos, zarejestruj nazwy SPN na koncie logowania usługi. Jeśli usługa działa w ramach konta LocalSystem, konto logowania usługi jest kontem komputera hosta. Aby uzyskać więcej informacji, odwołaj się do Nazw Głównych Usług.
  • Udziel dostępu. Upewnij się, że usługa w czasie działania ma prawa i uprawnienia dostępu wymagane do wykonywania zadań. Może to wymagać ustawienia wpisów kontroli dostępu (ACL) w deskryptorach zabezpieczeń różnych zasobów, czyli obiektów katalogu, udziałów plików itd., aby zezwolić na niezbędne prawa dostępu do konta użytkownika lub komputera. Aby uzyskać więcej informacji, zobacz Udzielanie Praw Dostępu do Konta Logowania Usługi.
  • Ustaw uprawnienia. Przypisz uprawnienia do określonego konta logowania, takie jak prawo logowania się jako usługa na komputerze hosta. Aby uzyskać więcej informacji, zobacz przywilej logowania jako usługa na komputerze hosta.

Po zainstalowaniu usługi istnieją zadania konserwacji związane z kontem logowania usługi. Aby uzyskać więcej informacji, zapoznaj się z Zadaniami konserwacji konta logowania.

  • Zarządzanie hasłami. W przypadku usługi działającej na koncie użytkownika należy okresowo zmieniać hasło i synchronizować hasło z hasłem używanym przez co najmniej jednego menedżera kontroli usług lokalnych, aby uruchomić usługę.
  • Konserwacja SPN. Jeśli konto logowania do usługi ulegnie zmianie, usuń nazwy SPN zarejestrowane na starym koncie i zarejestruj je na nowym koncie. Należy pamiętać, że po zainstalowaniu usługi administrator domeny może zmienić konto, na którym działa usługa; użyj funkcji Win32 lub interfejsu użytkownika narzędzia administracyjnego Zarządzanie komputerem.
  • Konserwacja ACE. Jeśli konto logowania do usługi ulegnie zmianie, musisz zaktualizować elementy kontroli dostępu (ACE) i członkostwa w grupach, aby upewnić się, że usługa nadal będzie mogła uzyskiwać dostęp do niezbędnych zasobów.