ドメイン ユーザー アカウントをサービス ログオン アカウントとして使用する

ドメイン ユーザー アカウントを使用すると、Windows と Microsoft Active Directory Domain Services のサービス セキュリティ機能をサービスで最大限に活用できます。 サービスは、アカウントまたはアカウントがメンバーになっているグループに付与されているすべてのローカルおよびネットワークアクセスを持ちます。 サービスは、Kerberos相互認証をサポートできます。

ドメインユーザーアカウントを使用する利点は、サービスのアクションがアカウントに関連付けられているアクセス権と特権によって制限されることです。 LocalSystemサービスとは異なり、ユーザーアカウントサービスのバグがシステムに損害を与えることはありません。 サービスがセキュリティ攻撃によって侵害された場合、損害は、システムがユーザーアカウントに実行を許可している操作に限定されます。 同時に、さまざまな特権レベルで実行されているクライアントがサービスに接続できるため、サービスはクライアントを偽装して機密性の高い操作を実行できます。

サービスのユーザーアカウントは、ローカル、ドメイン、またはエンタープライズの管理者グループのメンバーにすることはできません。 サービスにローカル管理者特権が必要な場合は、そのLocalSystemアカウントで実行します。 ドメイン管理者特権が必要な操作については、クライアントアプリケーションのセキュリティコンテキストを偽装することによって実行します。

ドメインユーザーアカウントを使用するサービスインスタンスでは、アカウントのパスワードを維持するために定期的な管理操作が必要です。 サービスインスタンスのホストコンピューター上のサービスコントロールマネージャー (SCM) は、サービスへのログオンに使用するアカウントパスワードをキャッシュします。 アカウントのパスワードを変更する場合は、サービスがインストールされているホストコンピューター上のキャッシュされたパスワードも更新する必要があります。 詳細とコード例については、 「サービスのユーザーアカウントのパスワードを変更する」 を参照してください。 パスワードを変更しないでおくと、定期的なメンテナンスを回避できますが、サービスアカウントに対するパスワード攻撃の可能性が高くなります。 SCMはパスワードをレジストリのセキュリティで保護された部分に格納しますが、それでも攻撃の対象になることに注意してください。

ドメインユーザーアカウントには、ディレクトリ内のユーザーオブジェクトの識別名と、ローカルサービスコントロールマネージャーによって使用される""<domain>\<username>"形式の2つの名前形式があります。 1つの形式から別の形式に変換するコード例と詳細については、 「ドメインアカウント名の形式の変換」 を参照してください。