Exporter (0) Imprimer
Développer tout
1 sur 1 ont trouvé cela utile - Évaluez ce sujet

Nouveautés dans les comptes de service

Mis à jour: mai 2011

S'applique à: Windows 7, Windows Server 2008 R2

La sécurisation d’applications réseau stratégiques, notamment Exchange et IIS (Internet Information Services) est un défi que Microsoft a relevé. La méthode consiste à sélectionner le type de compte approprié.

Sur un ordinateur local, un administrateur peut configurer une application en mode Service local, Service réseau ou Système local. Il est facile de configurer et d’utiliser ces comptes de services. En revanche, ils sont généralement partagés entre plusieurs applications et services, et ne peuvent donc pas être gérés au niveau du domaine.

Si vous configurez une application de sorte qu’elle utilise un compte de domaine, vous pouvez isoler les privilèges de cette application, mais vous devez gérer manuellement les mots de passe ou créer une solution personnalisée afin de les gérer. De nombreuses applications serveur utilisent cette stratégie pour améliorer la sécurité, au prix toutefois de tâches d’administration supplémentaires et d’une complexité accrue.

Dans ces types de déploiements, les administrateurs perdent beaucoup de temps à effectuer des tâches de maintenance (gestion des mots de passe et SPN), nécessaires pour une authentification Kerberos. Sans compter le fait que ces tâches de maintenance impliquent parfois une interruption du service.

Deux nouveaux types de comptes de services sont disponibles dans Windows Server® 2008 R2 et Windows® 7 : le compte de service administré et le compte virtuel. Le compte de service administré permet à des applications cruciales, notamment IIS, d’isoler leurs propres comptes de domaine, tout en supprimant la nécessité, pour un administrateur, de gérer manuellement le nom de principal du service (SPN) et les informations d’identification de ces comptes. Dans Windows Server 2008 R2 et Windows 7, les comptes virtuels sont des « comptes locaux administrés » qui peuvent utiliser les informations d’identification d’un ordinateur pour accéder aux ressources du réseau.

Les administrateurs retiennent cette solution car elle permet d’améliorer la sécurité tout en simplifiant ou en éliminant la gestion des mots de passe et des SPN.

Les comptes virtuels simplifient l’administration des services en éliminant la gestion des mots de passe et en autorisation l’accès de certains services au réseau via les informations d’identification de l’ordinateur au sein d’un environnement de domaine.

Outre une sécurité améliorée liée à l’existence de comptes individuels pour les services stratégiques, les comptes de services administrés présentent quatre avantages importants en termes d’administration :

  • Les comptes de services administrés permettent aux administrateurs de créer une classe de comptes de domaine qui peut être utilisée pour gérer les services sur des ordinateurs locaux.

  • Contrairement aux comptes de domaine classiques, dont les mots de passe doivent être réinitialisés automatiquement par les administrateurs, les mots de passe réseau de ces comptes sont automatiquement réinitialisés.

  • De même, l’administrateur n’a pas besoin d’effectuer des tâches de gestion de SPN complexes pour utiliser des comptes de services administrés, comme c’est le cas avec les comptes d’ordinateurs et d’utilisateurs locaux classiques.

  • Les tâches d’administration relatives aux comptes de services administrés peuvent être déléguées à des utilisateurs non administrateurs.

Les comptes de services administrés permettent d’alléger les tâches de gestion de comptes nécessaires pour les services et les applications stratégiques.

Pour utiliser les comptes de services administrés et les comptes virtuels, l’ordinateur client sur lequel l’application ou le service est installé doit exécuter Windows Server 2008 R2 ou Windows 7. Dans Windows Server 2008 R2 et Windows 7, un seul compte de service administré peut être utilisé pour les services sur un ordinateur unique. Il n’est pas possible de partager des comptes de services administrés entre plusieurs ordinateurs ni d’en utiliser dans des clusters de serveurs si un service est répliqué sur plusieurs nœuds de cluster.

Les domaines Windows Server 2008 R2 assurent une prise en charge native de la gestion automatique des mots de passe et des SPN. Si le domaine s’exécute dans le mode Windows Server 2003 ou Windows Server 2008, vous devez prévoir quelques étapes de configuration supplémentaires pour prendre en charge les comptes de services administrés. À savoir :

  • Si le contrôleur de domaine exécute Windows Server 2008 R2 et que le schéma a fait l’objet d’une mise à niveau afin de prendre en charge les comptes de services administrés, la gestion des mots de passe et la gestion des SPN sont toutes deux disponibles.

  • Si le contrôleur de domaine se trouve sur un ordinateur exécutant Windows Server 2008 ou Windows Server 2003 et que le schéma Active Directory a fait l’objet d’une mise à niveau afin de prendre en charge cette fonctionnalité, les comptes de services administrés peuvent être utilisés et les mots de passe de comptes de services seront gérés automatiquement. Toutefois, l’administrateur du domaine utilisant ces systèmes d’exploitation serveur devra toujours configurer manuellement les données SPN pour les comptes de services administrés.

Pour utiliser des comptes de services administrés dans Windows Server 2008, Windows Server 2003 ou dans un environnement de domaine en mode mixte, vous devez apporter les modifications suivantes au schéma :

  • Exécuter adprep /forestprep au niveau de la forêt.

  • Exécuter adprep /domainprep dans chaque domaine où vous souhaitez créer et utiliser des comptes de services administrés.

  • Déployer un contrôleur de domaine exécutant Windows Server 2008 R2 dans le domaine pour gérer des comptes de services administrés à l’aide d’applets de commande Windows PowerShell.

    Pour plus d’informations, voir Adprep.

Pour plus d’informations sur la gestion des SPN, voir Noms de principaux du service (page éventuellement en anglais).

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft. Tous droits réservés.