(0) exportieren Drucken
Alle erweitern

Neues in Dienstkonten

Letzte Aktualisierung: Mai 2011

Betrifft: Windows 7, Windows Server 2008 R2

Eine der Herausforderungen bei der Sicherheit wichtiger Netzwerkanwendungen wie Exchange und IIS liegt in der Auswahl des richtigen Kontotyps für die jeweilige Anwendung.

Auf einem lokalen Computer kann ein Administrator die Anwendung so konfigurieren, dass sie als lokaler Dienst, Netzwerkdienst oder lokales System ausgeführt wird. Diese Dienstkonten sind einfach zu konfigurieren und zu verwenden, werden jedoch in der Regel von mehreren Anwendungen und Diensten gemeinsam genutzt und können nicht auf einer Domänenebene verwaltet werden.

Wenn Sie die Anwendung für die Verwendung eines Domänenkontos konfigurieren, können Sie die Rechte für die Anwendung isolieren, müssen Kennwörter jedoch manuell verwalten oder eine benutzerdefinierte Lösung für die Verwaltung dieser Kennwörter erstellen. Zahlreiche Serveranwendungen verfolgen diese Strategie zur Verbesserung der Sicherheit. Dadurch erhöhen sich jedoch der Verwaltungsaufwand und die Komplexität.

In diesen Bereitstellungen verbringen Administratoren von Diensten sehr viel Zeit mit Verwaltungsaufgaben wie dem Verwalten von Dienstkennwörtern und Dienstprinzipalnamen (Service Principal Names, SPNs), die für die Kerberos-Authentifizierung erforderlich sind. Darüber hinaus können diese Verwaltungsaufgaben zu Dienstunterbrechungen führen.

Unter Windows Server® 2008 R2 und Windows® 7 stehen zwei neue Dienstkontotypen zur Verfügung – das verwaltete Dienstkonto und das virtuelle Dienstkonto. Das verwaltete Dienstkonto wurde entwickelt, um die Isolierung der eigenen Domänenkonten in wichtigen Anwendungen wie IIS zu ermöglichen. Zugleich sollte es in Zukunft nicht mehr erforderlich sein, dass ein Administrator den Dienstprinzipalnamen (Service Principal Name, SPN) und die Anmeldeinformationen für diese Konten manuell verwaltet. Virtuelle Konten sind unter Windows Server 2008 R2 und Windows 7 verwaltete lokale Konten, die mithilfe der Anmeldeinformationen eines Computers auf Netzwerkressourcen zugreifen können.

Für Administratoren ist die Verwendung verwalteter Dienstkonten von Vorteil, um die Sicherheit zu erhöhen und gleichzeitig die Verwaltung von Kennwörtern und Dienstprinzipalnamen zu vereinfachen oder überflüssig zu machen.

Virtuelle Konten vereinfachen die Dienstverwaltung, indem die Kennwortverwaltung abgeschafft und es Diensten ermöglicht wird, in einer Domänenumgebung mit den Anmeldeinformationen des Computerkontos auf das Netzwerk zuzugreifen.

Neben der höheren Sicherheit, die sich durch getrennte Konten für wichtige Dienste ergibt, zeichnen sich verwaltete Dienstkonten durch vier wichtige Vorteile bei der Verwaltung aus:

  • Verwaltete Dienstkonten ermöglichen es Administratoren, eine Klasse von Domänenkonten zu erstellen, die zum Verwalten von Diensten auf lokalen Computern verwendet werden kann.

  • Anders als bei regulären Domänenkonten, deren Kennwörter Administratoren manuell zurücksetzen müssen, werden die Netzwerkkennwörter für diese Konten automatisch zurückgesetzt.

  • Im Gegensatz zu normalen lokalen Computer- und Benutzerkonten muss der Administrator keine komplexen Aufgaben zur Verwaltung von Dienstprinzipalnamen ausführen, um verwaltete Dienstkonten verwenden zu können.

  • Verwaltungsaufgaben für verwaltete Dienstkonten können an Nicht-Administratoren delegiert werden.

Durch verwaltete Dienstkonten nimmt die Menge der Kontoverwaltungsaufgaben, die für wichtige Dienste und Anwendungen anfallen, möglicherweise ab.

Für die Verwendung verwalteter Dienstkonten und virtueller Konten muss auf dem Clientcomputer mit der Anwendung oder dem Dienst Windows Server 2008 R2 oder Windows 7 ausgeführt werden. Unter Windows Server 2008 R2 und Windows 7 kann ein verwaltetes Dienstkonto für Dienste auf einem einzelnen Computer verwendet werden. Verwaltete Dienstkonten können nicht von mehreren Computern gemeinsam genutzt und in Serverclustern, in denen ein Dienst auf mehrere Clusterknoten repliziert wird, verwendet werden.

Windows Server 2008 R2-Domänen bieten die systemeigene Unterstützung sowohl für die automatische Kennwortverwaltung als auch für die Verwaltung von Dienstprinzipalnamen. Wenn die Domäne im Windows Server 2003-Modus oder im Windows Server 2008-Modus ausgeführt wird, sind zusätzliche Konfigurationsschritte für die Unterstützung verwalteter Dienstkonten erforderlich. Das bedeutet Folgendes:

  • Wenn auf dem Domänencontroller Windows Server 2008 R2 ausgeführt wird und das Schema aktualisiert wurde, um verwaltete Dienstkonten zu unterstützen, stehen sowohl die automatische Kennwortverwaltung als auch die Verwaltung von Dienstprinzipalnamen zur Verfügung.

  • Wenn sich der Domänencontroller auf einem Computer unter Windows Server 2008 oder Windows Server 2003 befindet und das Active Directory-Schema zur Unterstützung dieses Features aktualisiert wurde, können verwaltete Dienstkonten verwendet werden und Dienstkontokennwörter werden automatisch verwaltet. Der Domänenadministrator, der diese Serverbetriebssysteme verwendet, muss jedoch weiterhin die Dienstprinzipalnamen-Daten für verwaltete Dienstkonten manuell konfigurieren.

Für die Verwendung von verwalteten Dienstkonten unter Windows Server 2008, Windows Server 2003 oder in Domänenumgebungen mit gemischtem Modus müssen die folgenden Schemaänderungen angewendet werden

  • Führen Sie auf Gesamtstrukturebene adprep /forestprep aus.

  • Führen Sie adprep /domainprep in jeder Domäne aus, in der Sie verwaltete Dienstkonten erstellen und verwenden möchten.

  • Stellen einen Domänencontroller unter Windows Server 2008 R2 in der Domäne bereit, um verwaltete Dienstkonten mithilfe von Windows PowerShell-Cmdlets zu verwalten.

    Weitere Informationen finden Sie unter Adprep.

Weitere Informationen zum Verwalten von Dienstprinzipalnamen finden Sie unter Dienstprinzipalnamen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft