Esporta (0) Stampa
Espandi tutto

Novità relative agli account del servizio

Aggiornamento: maggio 2011

Si applica a: Windows 7, Windows Server 2008 R2

Una delle difficoltà per la sicurezza di applicazioni di rete critiche, ad esempio Exchange e Internet Information Services (IIS), consiste nella selezione del tipo appropriato di account da utilizzare per l'esecuzione dell'applicazione:

In un computer locale un amministratore può configurare l'esecuzione dell'applicazione come Servizio locale, Servizio di rete o Sistema locale. Questi account del servizio sono semplici da configurare e utilizzare ma sono in genere condivisi tra più applicazioni e servizi e non possono essere gestiti a livello di dominio.

Se si configura un'applicazione per l'utilizzo di un account di dominio, è possibile isolare i privilegi per l'applicazione, ma è necessario gestire manualmente le password o creare una soluzione personalizzata per la loro gestione. Molte applicazioni server utilizzano questa strategia per ottimizzare la sicurezza, al costo tuttavia di attività aggiuntive di amministrazione e maggiore complessità.

In queste distribuzioni gli amministratori dei servizi dedicano una quantità elevata di tempo ad attività di manutenzione, ad esempio la gestione delle password dei servizi e dei nomi principali di servizio (SPN, Service Principal Name), necessari per l'autenticazione Kerberos. Queste attività di manutenzione possono inoltre causare interruzioni del servizio.

In Windows Server® 2008 R2 e Windows® 7 sono disponibili due nuovi tipi di account del servizio, ovvero l'account del servizio gestito e l'account virtuale. L'account del servizio gestito è stato progettato per offrire ad applicazioni fondamentali, ad esempio IIS, l'isolamento dei rispettivi account di dominio, eliminando al tempo stesso la necessità di amministrazione manuale del nome principale di servizio (SPN, Service Principal Name) e delle credenziali per tali account da parte dell'amministratore. Gli account virtuali in Windows Server 2008 R2 e Windows 7 sono "account locali gestiti", in grado di utilizzare le credenziali di un computer per accedere alle risorse di rete.

L'utilizzo degli account del servizio gestiti consente agli amministratori di ottimizzare la sicurezza, semplificando o eliminando al tempo stesso la gestione di password e dei nomi principali di servizio.

Gli account virtuali semplificano l'amministrazione dei servizi, eliminando la gestione della password e consentendo ai servizi di accedere alla rete utilizzando le credenziali dell'account del computer in un ambiente di dominio.

Oltre alla sicurezza ottimizzata grazie all'utilizzo di singoli account per servizi critici, l'utilizzo degli account del servizio gestiti offre quattro importanti vantaggi a livello di amministrazione:

  • Gli account del servizio gestiti consentono agli amministratori di creare una classe di account di dominio da utilizzare per la gestione e la manutenzione dei servizi nei computer locali.

  • A differenza dei normali account di dominio, che richiedono la reimpostazione manuale delle password da parte degli amministratori, le password per questi account vengono reimpostate automaticamente.

  • A differenza dei normali account di computer locale e account utente, per l'utilizzo degli account del servizio gestiti non è necessario che l'amministratore completi attività complesse di gestione dei nomi principali di servizio.

  • Le attività amministrative per gli account del servizio gestiti possono essere delegati a utenti non amministratori.

Gli account del servizio gestiti possono ridurre la quantità di gestione degli account necessaria per servizi e applicazioni essenziali.

Per utilizzare gli account del servizio gestiti e gli account virtuali, è necessario che il computer client in cui è installato il servizio o l'applicazione esegua Windows Server 2008 R2 o Windows 7. In Windows Server 2008 R2 e Windows 7 è possibile utilizzare un account del servizio gestito per i servizi in un singolo computer. Gli account del servizi gestiti non possono essere condivisi tra più computer, né utilizzati in cluster di server dove un servizio è replicato su più nodi del cluster.

Nei domini di Windows Server 2008 R2 è disponibile supporto nativo per la gestione automatica delle password e la gestione dei nomi principali di servizio. Se il dominio viene eseguito in modalità Windows Server 2003 o in modalità Windows Server 2008 mode, per il supporto degli account del servizio gestiti saranno necessari ulteriori passaggi di configurazione. Possono quindi verificarsi i casi seguenti:

  • Se il controller di dominio esegue Windows Server 2008 R2 e lo schema è stato aggiornato per supportare gli account del servizio gestiti, sarà disponibile la gestione automatica sia delle password che dei nomi principali di servizio.

  • Se il controller di dominio si trova in un computer che esegue Windows Server 2008 o Windows Server 2003 e lo schema di Active Directory è stato aggiornato per supportare questa funzionalità, sarà possibile utilizzare gli account del servizio gestiti e le password degli account del servizio verranno gestite automaticamente. L'amministratore di dominio che utilizza questi sistemi operativi server, tuttavia, dovrà configurare manualmente i dati SPN per gli account dei servizi gestiti.

Per utilizzare gli account del servizio gestiti in Windows Server 2008, Windows Server 2003 o in ambienti di dominio a modalità mista, è necessario applicare le modifiche seguenti allo schema:

  • Eseguire adprep /forestprep a livello di foresta.

  • Eseguire adprep /domainprep in tutti i domini in cui si desidera creare e utilizzare account dei servizi gestiti.

  • Distribuire un controller di dominio che esegue Windows Server 2008 R2 nel dominio, in modo da gestire gli account del servizio gestiti mediante i cmdlet di Windows PowerShell.

    Per ulteriori informazioni, vedere Adprep.

Per ulteriori informazioni sulla gestione dei nomi principali di servizio, vedere la pagina relativa ai nomi principali di servizio.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2014 Microsoft