Сведения об учетных записях входа в службу

При запуске службы на основе Win32 он входит в систему на локальный компьютер. Он может войти как:

  • Локальная или доменная учетная запись пользователя.
  • Учетная запись LocalSystem.

Учетная запись входа определяет удостоверение безопасности службы во время выполнения, то есть основной контекст безопасности службы. Контекст безопасности определяет возможность службы получать доступ к локальным и сетевым ресурсам. Например, служба, запущенная в контексте безопасности локальной учетной записи пользователя, не может получить доступ к сетевым ресурсам. И наоборот, служба, запущенная в контексте безопасности учетной записи LocalSystem на контроллере домена Windows 2000 (DC), будет иметь неограниченный доступ к контроллеру домена. Дополнительные сведения и обсуждение преимуществ и ограничений между учетными записями пользователей и LocalSystem см. в разделе "Контексты безопасности" и службы домен Active Directory.

В конечном счете администраторы системы, на которой установлена служба, имеют контроль над учетной записью входа в систему службы. По соображениям безопасности некоторые администраторы могут не разрешать устанавливать службу в учетной записи LocalSystem. Служба должна работать под учетной записью пользователя домена. В качестве программиста вы можете контролировать учетную запись входа в систему службы. Установщик службы указывает учетную запись входа службы при вызове функции CreateService для установки службы на хост-компьютере. Установщик может предложить учетную запись входа по умолчанию, но она должна разрешить администратору указать фактическую учетную запись.

Установщик также может выполнять следующие задачи, связанные с учетной записью входа в службу:

  • Установка. При установке службы для запуска под учетной записью пользователя перед вызовом CreateService должна существовать учетная запись. Вы можете использовать существующую учетную запись или создать ее в составе установщика хост-компьютера. Дополнительные сведения см. в разделе "Настройка учетной записи пользователя службы".
  • Проверка подлинности. Если вы хотите, чтобы клиенты использовали взаимную проверку подлинности Kerberos, зарегистрируйте имена субъектов-служб в учетной записи входа в систему службы. Если служба выполняется под учетной записью LocalSystem, учетная запись входа службы — это учетная запись компьютера узла. Дополнительные сведения об именах субъектов-служб см. в этом разделе.
  • Предоставление доступа. Убедитесь, что служба во время выполнения имеет права доступа и привилегии, необходимые для выполнения задач. Для этого может потребоваться настройка записей управления доступом (ACEs) в дескрипторах безопасности различных ресурсов, то есть объектов каталогов, общих папок и т. д., чтобы разрешить необходимые права доступа к учетной записи пользователя или компьютера. Дополнительные сведения см. в разделе "Предоставление прав доступа учетной записи входа в службу".
  • Задайте привилегии. Назначьте привилегии указанной учетной записи входа, например право входа в систему в качестве службы на хост-компьютере. Дополнительные сведения см. в разделе "Предоставление входа в качестве службы справа на хост-компьютере".

После установки службы выполняются задачи обслуживания, связанные с учетной записью входа в службу. Дополнительные сведения см. в разделе "Задачи обслуживания учетной записи входа".

  • Обслуживание паролей. Для службы, работающей под учетной записью пользователя, необходимо периодически изменять пароль и синхронизировать пароль с паролем, используемым одним или несколькими локальными диспетчерами управления службами для запуска службы.
  • Обслуживание субъекта-службы. Если учетная запись входа службы изменяется, удалите имена субъектов-служб, зарегистрированные в старой учетной записи, и зарегистрируйте их в новой учетной записи. Помните, что при установке службы администратор домена может изменить учетную запись, в которой выполняется служба; используйте функции Win32 или пользовательский интерфейс административного средства управления компьютерами.
  • Обслуживание ACE. Если учетная запись входа в службу изменяется, необходимо обновить acEs и членство в группах, чтобы убедиться, что служба по-прежнему может получить доступ к необходимым ресурсам.