Account di servizio
Si applica a: Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016
Un account del servizio è un account utente creato in modo esplicito per fornire un contesto di sicurezza per i servizi in esecuzione nei sistemi operativi Windows Server. Il contesto di sicurezza determina la capacità del servizio di accedere alle risorse locali e di rete. I sistemi operativi Windows si basano sui servizi per l'esecuzione di varie funzionalità. Questi servizi possono essere configurati tramite le applicazioni, lo snap-in Servizi o Gestione attività oppure tramite Windows PowerShell.
Questo articolo contiene informazioni sui tipi di account del servizio seguenti:
- Account del servizio gestiti autonomi
- Account del servizio gestito del gruppo
- Account del servizio gestito delegato
- Account virtuali
Account del servizio gestiti autonomi
Gli account del servizio gestiti sono progettati per isolare gli account di dominio nelle applicazioni cruciali, ad esempio Internet Information Services (IIS). Eliminano la necessità per l'amministratore di gestire manualmente il nome dell'entità servizio (SPN) e le credenziali per gli account.
Per usare gli account del servizio gestiti, è necessario che il server in cui è installato il servizio o l'applicazione esegua Windows Server 2008 R2 o versione successiva. È possibile usare un account del servizio gestito per i servizi in un singolo computer. Gli account del servizio gestiti non possono essere condivisi tra più computer, né usati in cluster di server in cui un servizio è replicato su più nodi del cluster. Per questo scenario, è necessario usare un account del servizio gestito del gruppo. Per altre informazioni, vedere Panoramica degli account del servizio gestito del gruppo.
Oltre alla maggiore sicurezza associata alla presenza di singoli account per i servizi critici, l'uso degli account del servizio gestiti offre quattro importanti vantaggi a livello di amministrazione:
È possibile creare una classe di account di dominio da usare per la gestione e la manutenzione dei servizi nei computer locali.
A differenza degli account di dominio, che richiedono la reimpostazione manuale delle password da parte degli amministratori, le password per questi account vengono reimpostate automaticamente.
Non è necessario completare attività di gestione SPN complesse per usare gli account del servizio gestiti.
È possibile delegare le attività amministrative per gli account del servizio gestito agli account non amministratori.
Nota
Gli account del servizio gestito si applicano solo ai sistemi operativi Windows elencati nell'articolo Si applica a all'inizio di questo articolo.
Account dei servizi gestiti di gruppo
Gli account del servizio gestito del gruppo sono un'estensione degli account del servizio gestito autonomi, introdotti in Windows Server 2008 R2. Si tratta di account di dominio gestiti che forniscono funzionalità di gestione automatica delle password e gestione dei nomi SPN semplificata, inclusa la delega della gestione ad altri amministratori.
Un account del servizio gestito di gruppo offre la stessa funzionalità di un account del servizio gestito autonomo all'interno del dominio, ma estende tale funzionalità su più server. Durante la connessione a un servizio ospitato in una server farm, ad esempio Bilanciamento carico di rete, i protocolli di autenticazione che supportano l'autenticazione reciproca richiedono che tutte le istanze dei servizi usino la stessa entità. Quando gli account del servizio gestito del gruppo vengono usati come entità servizio, il sistema operativo Windows Server gestisce la password per l'account anziché affidarsi all'amministratore per gestire la password.
Il Servizio distribuzione chiavi Microsoft (kdssvc.dll) fornisce il meccanismo per ottenere in modo sicuro la chiave più recente o una chiave specifica con un identificatore di chiave per un account Active Directory (AD). Questo servizio è stato introdotto in Windows Server 2012 e non è compatibile con le versioni precedenti del sistema operativo Windows Server. Kdssvc.dll condivide un segreto, usato per creare chiavi per l'account. Tali chiavi vengono modificate periodicamente. Per un account del servizio gestito dal gruppo, il controller di dominio calcola la password nella chiave fornita da kdssvc.dll, oltre ad altri attributi dell'account del servizio gestito del gruppo.
Account del servizio gestito delegati
L'aggiunta di un nuovo tipo di account denominato account del servizio gestito delegato (dMSA) è stato introdotto in Windows Server 2025. Questo tipo di account consente agli utenti di passare dagli account del servizio tradizionali agli account computer che dispongono di chiavi gestite e completamente casuali, disabilitando al contempo le password dell'account del servizio originali. L'autenticazione per dMSA è collegata all'identità del dispositivo, il che significa che solo le identità del computer specificate mappate in AD possono accedere all'account. Usando dMSA, gli utenti possono evitare il problema comune della raccolta delle credenziali usando un account compromesso associato agli account del servizio tradizionali.
Gli utenti hanno la possibilità di creare un dMSA come account autonomo o di sostituire un account del servizio standard esistente. Se un account esistente viene sostituito da un dMSA, l'autenticazione con la password dell'account precedente viene bloccata. La richiesta viene invece reindirizzata all'autorità di protezione locale (LSA) per l'autenticazione tramite dMSA, che avrà accesso alle stesse risorse dell'account precedente in AD. Per altre informazioni, vedere Panoramica degli account del servizio gestito delegati.
Account virtuali
Gli account virtuali sono stati introdotti in Windows Server 2008 R2 e Windows 7. Si tratta di account locali gestiti che offrono le funzionalità elencate di seguito per semplificare l'amministrazione dei servizi:
- L'account virtuale viene gestito automaticamente.
- L'account virtuale può accedere alla rete in un ambiente di dominio.
- Non è necessaria la gestione delle password. Ad esempio, se il valore predefinito viene usato per gli account del servizio durante l'installazione di SQL Server in Windows Server 2008 R2, un account virtuale che usa il nome dell'istanza come nome del servizio viene stabilito nel formato
NT SERVICE\<SERVICENAME>.
I servizi eseguiti come account virtuali permettono di accedere alle risorse di rete usando le credenziali dell'account del computer nel formato <domain_name>\<computer_name>$.
Per informazioni su come configurare e usare gli account del servizio virtuale, vedere Concetti relativi all'account del servizio gestito e all'account virtuale.
Nota
Gli account virtuali si applicano solo ai sistemi operativi Windows elencati nella sezione "Si applica a" all'inizio di questo articolo.
Scelta dell'account del servizio
Gli account di servizio vengono usati per controllare l'accesso del servizio alle risorse locali e di rete e consentono di garantire che il servizio possa funzionare in modo sicuro e sicuro senza esporre informazioni riservate o risorse a utenti non autorizzati. Per visualizzare le differenze tra i tipi di account del servizio, vedere la tabella di confronto:
| Criterio | sMSA | gMSA | dMSA | Account virtuali |
|---|---|---|---|---|
| L'app viene eseguita in un singolo server | Sì | Sì | Sì | Sì |
| L'app viene eseguita su più server | No | Sì | No | No |
| L’app viene eseguita dietro un servizio di bilanciamento del carico | No | Sì | No | No |
| App eseguita in Windows Server 2008 R2 e versioni successive | Sì | No | No | Sì |
| Requisito di limitare l'account del servizio a un singolo server | Sì | No | Sì | No |
| Supporta l'account computer collegato all'identità del dispositivo | No | No | Sì | No |
| Usare per scenari di sicurezza elevata (impedire la raccolta delle credenziali) | No | No | Sì | No |
Quando si sceglie un account del servizio, è importante considerare fattori quali il livello di accesso richiesto dal servizio, i criteri di sicurezza sul server e le esigenze specifiche dell'applicazione o del servizio in esecuzione.
sMSA: progettato per l'uso in un singolo computer, gli sMSA forniscono un metodo sicuro e semplificato per la gestione di SPN e credenziali. Gestiscono automaticamente le password e sono ideali per isolare gli account di dominio nelle applicazioni critiche. Tuttavia, non possono essere usati in più server o in cluster di server.
gMSA: estendere la funzionalità di sMSA supportando più server, rendendoli adatti per server farm e applicazioni con carico bilanciato. Offrono la gestione automatica delle password e del nome SPN, semplificando gli oneri amministrativi. Gli account del servizio gestito del gruppo offrono una singola soluzione di identità, consentendo ai servizi di eseguire l'autenticazione in più istanze senza problemi.
dMSA: collega l'autenticazione a identità del computer specifiche, impedendo l'accesso non autorizzato tramite la raccolta delle credenziali, consentendo la transizione dagli account di servizio tradizionali con chiavi completamente casuali e gestite. Le dMSA possono sostituire gli account di servizio tradizionali esistenti, assicurandosi che solo i dispositivi autorizzati possano accedere alle risorse sensibili.
Account virtuali: un account locale gestito che offre un approccio semplificato all'amministrazione del servizio senza la necessità di gestire manualmente le password. Possono accedere alle risorse di rete usando le credenziali dell'account computer, rendendole adatte ai servizi che richiedono l'accesso al dominio. Gli account virtuali vengono gestiti automaticamente e richiedono una configurazione minima.
Vedi anche
| Content type | Riferimenti |
|---|---|
| Valutazione del prodotto | Novità per gli account del servizio gestito Introduzione agli account del servizio gestito del gruppo |
| Distribuzione | Windows Server 2012: Account del servizio gestito del gruppo - Tech Community |
| Tecnologie correlate | Entità di sicurezza Novità di Active Directory Domain Services |