Dienstkonten

Ein Dienstkonto ist ein Benutzerkonto, das explizit erstellt wird, um einen Sicherheitskontext für Dienste bereitzustellen, die unter Windows Server-Betriebssystemen ausgeführt werden. Der Sicherheitskontext bestimmt, ob der Dienst auf lokale Ressourcen und auf Netzwerkressourcen zugreifen kann. Windows-Betriebssysteme verwenden Dienste, um verschiedene Features auszuführen. Diese Dienste können über die Anwendungen, über das Dienste-Snap-In, über den Task-Manager oder mithilfe von Windows PowerShell konfiguriert werden.

Dieser Artikel enthält Informationen zu den folgenden Arten von Dienstkonten:

Eigenständige verwaltete Dienstkonten

Verwaltete Dienstkonten sind darauf ausgelegt, Domänenkonten in wichtigen Anwendungen wie etwa Internetinformationsdienste (IIS) zu isolieren. Dadurch müssen der Dienstprinzipalname (Service Principal Name, SPN) und die Anmeldeinformationen für die Konten nicht manuell von einem Administrator verwaltet werden.

Um verwaltete Dienstkonten verwenden zu können, muss der Server, auf dem die Anwendung oder der Dienst installiert ist, mindestens über Windows Server 2008 R2 verfügen. Ein einzelnes verwaltetes Dienstkonto kann für Dienste auf einem einzelnen Computer verwendet werden. Verwaltete Dienstkonten können nicht von mehreren Computern gemeinsam genutzt werden. Außerdem ist es nicht möglich, sie in Serverclustern zu verwenden, in denen ein Dienst auf mehreren Clusterknoten repliziert wird. Für dieses Szenario muss ein gruppenverwaltetes Dienstkonto verwendet werden. Weitere Informationen finden Sie unter Gruppenverwaltete Dienstkonten: Übersicht.

Neben der höheren Sicherheit, die sich durch getrennte Konten für wichtige Dienste ergibt, bieten verwaltete Dienstkonten vier wichtige Vorteile bei der Verwaltung:

  • Sie ermöglichen die Erstellung einer Klasse von Domänenkonten, die zum Verwalten von Diensten auf lokalen Computern verwendet werden kann.

  • Anders als bei Domänenkonten, deren Kennwörter manuell von Administratoren zurückgesetzt werden müssen, werden die Netzwerkkennwörter für diese Konten automatisch zurückgesetzt.

  • Für die Verwendung verwalteter Dienstkonten müssen keine komplexen SPN-Verwaltungsaufgaben ausgeführt werden.

  • Verwaltungsaufgaben für verwaltete Dienstkonten können an Benutzer ohne Administratorberechtigungen delegiert werden.

Hinweis

Verwaltete Dienstkonten sind nur für die Windows-Betriebssysteme verfügbar, die am Anfang dieses Artikels unter Gilt für aufgeführt sind.

Über Gruppen verwaltete Dienstkonten

Gruppenverwaltete Dienstkonten sind eine Erweiterung eigenständiger verwalteter Dienstkonten, die in Windows Server 2008 R2 eingeführt wurden. Bei diesen Konten handelt es sich um verwaltete Domänenkonten, die eine automatische Kennwortverwaltung und vereinfachte SPN-Verwaltung bieten – einschließlich Delegierung der Verwaltung an andere Administratoren.

Ein gruppenverwaltetes Dienstkonto bietet die gleichen Funktionen wie ein eigenständiges verwaltetes Dienstkonto innerhalb der Domäne, weitet diese Funktionalität jedoch auf mehrere Server aus. Beim Herstellen einer Verbindung mit einem Dienst, der in einer Serverfarm gehostet wird (beispielsweise ein Netzwerklastenausgleich), erfordern die Authentifizierungsprotokolle, die gegenseitige Authentifizierung unterstützen, dass alle Instanzen der Dienste den gleichen Prinzipal verwenden. Wenn gruppenverwaltete Dienstkonten als Dienstprinzipale verwendet werden, wird das Kennwort für das Konto vom Windows Server-Betriebssystem verwaltet, anstatt die Kennwortverwaltung dem Administrator zu überlassen.

Der Microsoft Key Distribution Service (kdssvc.dll) bietet den Mechanismus, um den neuesten Schlüssel oder einen bestimmten Schlüssel mit einer Schlüsselkennung für ein Active Directory (AD)-Konto sicher zu erhalten. Dieser Dienst wurde in Windows Server 2012 eingeführt und kann unter früheren Versionen des Windows Server-Betriebssystems nicht ausgeführt werden. Kdssvc.dll teilt einen geheimen Schlüssel, der zum Erstellen von Schlüsseln für das Konto verwendet wird. Diese Schlüssel werden regelmäßig geändert. Bei einem gruppenverwalteten Dienstkonto berechnet der Domänencontroller (DC) das Kennwort für den von kdssvc.dll bereitgestellten Schlüssel – zusätzlich zu anderen Attributen des gruppenverwalteten Dienstkontos.

Delegierte verwaltete Dienstkonten

In Windows Server 2025 wird ein neuer Kontotyp Delegated Managed Service Account (dMSA) eingeführt. Dieser Kontotyp ermöglicht Benutzern den Übergang von herkömmlichen Dienstkonten zu Maschinenkonten mit verwalteten und vollständig randomisierten Schlüsseln, wobei gleichzeitig die ursprünglichen Kennwörter der Dienstkonten deaktiviert werden. Die Authentifizierung für dMSA ist mit der Geräteidentität verknüpft, was bedeutet, dass nur bestimmte in AD zugeordnete Computeridentitäten auf das Konto zugreifen können. Durch die Verwendung von dMSA können Benutzer das häufige Problem des Sammelns von Anmeldeinformationen über ein kompromittiertes Konto, das mit herkömmlichen Dienstkonten verbunden ist, verhindern.

Benutzer haben die Möglichkeit, ein dMSA als eigenständiges Konto zu erstellen oder ein bestehendes Standarddienstkonto damit zu ersetzen. Wenn ein bestehendes Konto durch eine dMSA ersetzt wird, wird die Authentifizierung mit dem Passwort des alten Kontos blockiert. Stattdessen wird die Anfrage zur Authentifizierung mit der dMSA an die lokale Sicherheitsbehörde (LSA) weitergeleitet, die Zugriff auf dieselben Ressourcen hat wie das vorherige Konto im AD. Weitere Informationen finden Sie unter Übersicht über delegierte verwaltete Dienstkonten.

Virtuelle Konten

Virtuelle Konten wurden in Windows Server 2008 R2 und unter Windows 7 eingeführt. Es handelt sich um verwaltete lokale Konten, die die Verwaltung der Dienste vereinfachen und folgende Vorteile bieten:

  • Das virtuelle Konto wird automatisch verwaltet.
  • Das virtuelle Konto kann auf das Netzwerk in einer Domänenumgebung zugreifen.
  • Keine Kennwortverwaltung erforderlich Wenn im Rahmen des SQL Server-Setups unter Windows Server 2008 R2 der Standardwert für die Dienstkonten verwendet wird, wird ein virtuelles Konto eingerichtet, bei dem der Instanzname als Dienstname im Format NT SERVICE\<SERVICENAME> verwendet wird.

Als virtuelle Konten ausgeführte Dienste greifen auf Netzwerkressourcen unter Verwendung der Anmeldeinformationen des Computerkontos im Format <domain_name>\<computer_name>$ zu.

Informationen zum Konfigurieren und Verwenden virtueller Dienstkonten finden Sie unter Verwaltetes Dienstkonto und virtuelle Kontokonzepte.

Hinweis

Virtuelle Konten sind nur für die Windows-Betriebssysteme verfügbar, die am Anfang dieses Artikels unter „Gilt für“ aufgeführt sind.

Auswählen Ihres Dienstkontos

Dienstkonten werden verwendet, um den Zugriff des Dienstes auf lokale und Netzwerkressourcen zu steuern. Sie tragen dazu bei, dass der Dienst sicher und geschützt arbeiten kann, ohne dass sensible Informationen oder Ressourcen für unbefugte Benutzer*innen zugänglich sind. Die Unterschiede zwischen den verschiedenen Arten von Dienstkonten finden Sie in unserer Vergleichstabelle:

Kriterium sMSA gMSA dMSA Virtuelle Konten
Ausführen der Anwendung auf einem einzelnen Server Ja Ja Ja Ja
Ausführen der Anwendung auf mehreren Servern No Ja Nr. No
Ausführen der Anwendung hinter einem Lastenausgleich No Ja Nr. No
App wird unter Windows Server 2008 R2 und höher ausgeführt Ja Nr. Nein Ja
Anforderung der Beschränkung des Dienstkontos auf einen einzelnen Server Ja Keine Ja No
Unterstützt ein mit der Identität des Geräts verknüpftes Computerkonto No Nein Ja No
Verwendung für hochsichere Szenarien (verhindert das Abgreifen von Anmeldeinformationen) No Nein Ja No

Bei der Wahl eines Dienstkontos sollten Sie Faktoren wie den für den Dienst erforderlichen Zugriff, die auf dem Server geltenden Sicherheitsrichtlinien und die spezifischen Anforderungen der auszuführenden Anwendung oder des Dienstes berücksichtigen.

  • sMSA: sMSAs sind für die Verwendung auf einem einzelnen Computer konzipiert und bieten eine sichere und einfache Methode zur Verwaltung von SPNs und Anmeldeinformationen. Sie verwalten Kennwörter automatisch und sind ideal für die Isolierung von Domänenkonten in kritischen Anwendungen. Sie können jedoch nicht auf mehreren Servern oder in Server-Clustern verwendet werden.

  • gMSA: Erweitern die Funktionalität von sMSAs um die Unterstützung mehrerer Server, wodurch sie sich für Serverfarmen und Anwendungen mit Load-Balancing eignen. Sie bieten eine automatische Verwaltung von Kennwörtern und SPNs, was den Verwaltungsaufwand verringert. gMSAs stellen eine einzelne Identitätslösung bereit, die Diensten die Möglichkeit bietet, sich nahtlos über mehrere Instanzen hinweg zu authentifizieren.

  • dMSA: Bindet die Authentifizierung an bestimmte Computer-Identitäten und verhindert so den unbefugten Zugriff durch das Sammeln von Anmeldeinformationen. Dies bietet die Möglichkeit, von herkömmlichen Dienstkonten mit vollständig verwalteten und randomisierten Schlüsseln zu wechseln. dMSAs können bestehende traditionelle Dienstkonten ersetzen und gewährleisten, dass nur autorisierte Geräte auf sensible Ressourcen zugreifen können.

  • Virtuelle Konten: Ein verwaltetes, lokales Konto, das einen vereinfachten Ansatz für die Verwaltung von Diensten bietet, ohne dass eine manuelle Verwaltung von Kennwörtern erforderlich ist. Sie können mit den Anmeldeinformationen des Computerkontos auf Netzwerkressourcen zugreifen und eignen sich daher für Dienste, die einen Domänenzugriff erfordern. Virtuelle Konten werden automatisch verwaltet und müssen nur minimal konfiguriert werden.

Siehe auch

Inhaltstyp Referenzen
Produktbewertung What's New for Managed Service Accounts
Erste Schritte mit gruppenverwalteten Dienstkonten
Bereitstellung Windows Server 2012: Gruppenverwaltete Dienstkonten – Tech Community
Verwandte Technologien Sicherheitsprinzipale
Neues in den Active Directory Domain Services