服务登录帐户
与任何进程一样,服务也有一个主要的安全身份,它决定了本地和网络资源的访问权限和特权。 这种安全标识或安全上下文还决定了服务破坏本地和网络资源的可能性。
Microsoft Win32 服务的安全性上下文由用于启动服务的登录帐户决定。 本节讨论与 Win32 服务使用的服务登录帐户有关的编程问题和最佳做法,重点是已启用目录的服务。 本节包括下列主题:
- 关于服务登录帐户 — 概述 Win32 服务的服务登录帐户和安全上下文编程问题。
- 为 Win32 服务选择服务登录帐户的准则。
- 设置服务的用户帐户。
- 在主机计算机上安装服务并指定服务登录帐户。
- 授予在主机计算机上以服务身份登录的权限 — 向服务的用户帐户授予主机计算机上的登录即服务权限。
- 测试是否在域控制器上运行 — 在安装时检测是否在域控制器上安装服务实例。
- 向服务登录帐户授予访问权限 — 设置和维护 ACE 和组成员身份,以确保系统将授予正在运行的服务对必要的本地和网络资源的访问权限。
- 更改服务用户帐户上的密码 — 更改服务用户帐户上的密码,同时更新在安装服务的每个主机服务器上向服务控制管理器注册的密码。
- 使用 Kerberos 进行相互身份验证 — 在与每个服务实例的登录帐户相关联的 Directory 对象上维护服务主体名称 (SPN) 注册。 SPN 使客户端能够使用 Kerberos 相互身份验证来对服务进行身份验证。
- 转换域帐户名称格式 — 例如,将可分辨名称转换为 Domain**\**UserName 格式,反之亦然。