Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Заметка
Следующая документация предназначена для разработчиков. Если вы являетесь конечным пользователем и ищете сведения о сообщении об ошибке, связанном с пользовательскими аккаунтами домена, см. форумы сообщества Майкрософт. Сведения об управлении учетными записями пользователей домена см. в TechNet.
Учетная запись пользователя домена позволяет службе воспользоваться всеми функциями безопасности служб Windows и доменных служб Microsoft Active Directory. Служба обладает всеми локальными и сетевыми доступами, предоставляемыми учетной записи или любым группам, членом которых является учетная запись. Сервис может поддерживать Kerberos взаимную аутентификацию.
Преимущество использования учетной записи пользователя домена заключается в том, что действия службы ограничены правами доступа и привилегиями, связанными с учетной записью. В отличие от службы LocalSystem, ошибки в службе учетной записи пользователя не могут повредить системе. Если служба скомпрометирована атакой безопасности, то ущерб изолирован от операций, которые система позволяет учетной записи пользователя выполнять. В то же время клиенты, работающие на разных уровнях привилегий, могут подключаться к службе, что позволяет службе олицетворить клиента выполнять конфиденциальные операции.
Учетная запись пользователя службы не должна быть членом каких-либо групп администраторов, которые являются локальными, доменными или корпоративными. Если службе требуются права локального администратора, запустите ее в учетной записи LocalSystem. Для операций, требующих прав администратора домена, выполните их путем олицетворения контекста безопасности клиентского приложения.
Экземпляр службы, использующий учетную запись пользователя домена, требует регулярного административного вмешательства для обновления пароля учетной записи. Диспетчер управления службами (SCM) на хост-компьютере экземпляра службы кэширует пароль учетной записи для использования при входе в службу. При изменении пароля учетной записи необходимо также обновить кэшированный пароль на хост-компьютере, где установлена служба. Дополнительные сведения и пример кода см. в разделе Изменение пароля учетной записи пользователя службы. Вы можете избежать регулярного обслуживания, оставив пароль без изменений, но это приведет к увеличению вероятности атаки паролей на учетную запись службы. Помните, что даже если SCM хранит пароль в безопасной части реестра, она, тем не менее, подвергается атаке.
Учетная запись пользователя домена имеет два формата имен: различающееся имя объекта пользователя в каталоге и формат "<домена>\<имени пользователя>", используемый локальным диспетчером управления службами. Дополнительные сведения и пример кода, который преобразуется из одного формата в другой, см. в разделе Преобразование форматов имени учетной записи домена.