Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Nota
La documentazione seguente è destinata agli sviluppatori. Sei un utente finale che cerca informazioni su un messaggio di errore relativo agli account utente di dominio, consulta i forum della community Microsoft . Per informazioni sulla gestione degli account utente di dominio, vedere TechNet.
Un account utente di dominio consente al servizio di sfruttare appieno le funzionalità di sicurezza del servizio di Windows e Microsoft Active Directory Domain Services. Il servizio ha qualsiasi accesso locale e di rete concesso all'account o a qualsiasi gruppo di cui l'account è membro. Il servizio può supportare l'autenticazione reciproca Kerberos.
Il vantaggio dell'uso di un account utente di dominio è che le azioni del servizio sono limitate dai diritti di accesso e dai privilegi associati all'account. A differenza di un servizio LocalSystem, i bug in un servizio account utente non possono danneggiare il sistema. Se il servizio viene compromesso da un attacco di sicurezza, il danno è isolato alle operazioni che il sistema consente all'account utente di eseguire. Allo stesso tempo, i client in esecuzione a diversi livelli di privilegio possono connettersi al servizio, che consente al servizio di rappresentare un client per eseguire operazioni sensibili.
L'account utente di un servizio non deve essere membro di alcun gruppo di amministratori locale, di dominio o aziendale. Se il servizio necessita di privilegi amministrativi locali, eseguirlo con l'account LocalSystem. Per le operazioni che richiedono privilegi amministrativi del dominio, eseguirle rappresentando il contesto di sicurezza di un'applicazione client.
Un'istanza del servizio che usa un account utente di dominio richiede un'azione amministrativa periodica per mantenere la password dell'account. Il gestore del controllo del servizio (SCM) sul computer host di un'istanza del servizio memorizza nella cache la password dell'account per utilizzarla durante l'accesso al servizio. Quando si modifica la password dell'account, è necessario aggiornare anche la password memorizzata nella cache nel computer host in cui è installato il servizio. Per altre informazioni e un esempio di codice, vedere Modifica della password nell'account utente di un servizio. È possibile evitare la manutenzione regolare lasciando invariata la password, ma ciò aumenterebbe la probabilità di un attacco password all'account del servizio. Tenere presente che, anche se il Service Control Manager (SCM) archivia la password in una parte sicura del Registro, è comunque a rischio di attacchi.
Un account utente di dominio ha due formati di nome: il nome distinto dell'oggetto utente nella directory e il formato "<dominio>\<nome utente>" usato dal gestore di controllo del servizio locale. Per altre informazioni e un esempio di codice che esegue la conversione da un formato all'altro, vedere Conversione dei formati di nome account di dominio.