Exportar (0) Imprimir
Expandir Tudo

Novidades nas contas de serviço

Atualizado: maio de 2011

Aplica-se a: Windows 7, Windows Server 2008 R2

Um dos desafios à segurança dos aplicativos de rede críticos, como o Exchange e o IIS (Serviços de Informações da Internet), é selecionar o tipo de conta apropriado a ser utilizado por eles.

Em um computador local, um administrador pode configurar o aplicativo para executar como Serviço Local, Serviço de Rede ou Sistema Local. Essas contas de serviço são simples de configurar e usar, mas estão normalmente compartilhadas entre vários aplicativos e serviços, e não podem ser gerenciadas no nível de domínio.

Se você configurar o aplicativo para usar uma conta de domínio, poderá isolar os privilégios do aplicativo, mas precisará gerenciar senhas manualmente ou criar uma solução personalizada para esse objetivo. Muitos aplicativos de servidor usam essa estratégia para melhorar a segurança, mas isso representa custos adicionais de administração e complexidade.

Nessas implantações, os administradores de serviço gastam uma quantidade de tempo considerável em tarefas de manutenção (por exemplo, gerenciamento de senhas de serviço e de SPNs [nomes das entidades de usuário]) necessárias para autenticação Kerberos. Além disso, essas tarefas de manutenção podem interromper o serviço.

Dois novos tipos de contas de serviço estão disponíveis no Windows Server® 2008 R2 e no Windows® 7: a conta de serviço gerenciado e a conta virtual. A conta de serviço gerenciado foi desenvolvida para fornecer aplicativos essenciais, como o IIS com o isolamento de suas próprias contas de domínio, ao mesmo tempo em que elimina a necessidade de um administrador para administrar manualmente o SPN (nome da entidade de serviço) e as credenciais dessas contas. As contas virtuais no Windows Server 2008 R2 e no Windows 7 são "contas locais gerenciadas" que podem usar credenciais de um computador para acessar recursos de rede.

Os administradores desejarão usar contas de serviço gerenciadas para aumentar a segurança e, ao mesmo tempo, simplificar ou eliminar o gerenciamento de senhas e SPN.

As contas virtuais simplificam a administração de serviços eliminando o gerenciamento de senhas e permitindo que os serviços acessem a rede com as credenciais da conta do computador em um ambiente de domínio.

Além da maior segurança proporcionada pelo uso de contas individuais para serviços críticos, há três ou quatro importantes benefícios administrativos associados a contas de serviço gerenciadas:

  • As contas de serviço gerenciadas permitem aos administradores criar uma classe de contas de domínio que podem ser usadas para gerenciar e manter serviços em computadores locais.

  • Diferentemente das contas de domínio regulares, em que os administradores devem redefinir as senhas manualmente, as senhas de rede para essas contas serão redefinidas automaticamente.

  • Diferentemente do que ocorre com as contas de computador e de usuário locais normais, o administrador não precisa concluir tarefas complexas de gerenciamento de SPN para usar contas de serviço gerenciadas.

  • As tarefas administrativas para contas de serviço gerenciadas podem ser delegadas a indivíduos que não são administradores.

As contas de serviço gerenciadas podem reduzir a quantidade de gerenciamento de contas necessária para serviços e aplicativos críticos.

Para usar as contas de serviço gerenciadas e as contas virtuais, o computador cliente no qual o aplicativo ou serviço está instalado deve estar executando o Windows Server 2008 R2 ou o Windows 7. No Windows Server 2008 R2 e no Windows 7, uma conta de serviço gerenciada pode ser usada para os serviços de um único computador. Contas de serviço gerenciadas não podem ser compartilhadas entre vários computadores e não podem ser usadas em clusters de servidores nos quais um serviço seja replicado para vários nós de cluster.

Os domínios do Windows Server 2008 R2 oferecem suporte nativo para gerenciamento automático de senha e gerenciamento de SPN. Se o domínio estiver em execução no modo do Windows Server 2003 ou no modo do Windows Server 2008, serão necessárias etapas de configuração adicionais para dar suporte a contas de serviço gerenciado. Isso significa que:

  • Se o controlador de domínio estiver executando o Windows Server 2008 R2 e o esquema tiver sido atualizado para dar suporte às contas de serviço gerenciadas, o gerenciamento de SPN e de senha automática estará disponível.

  • Se o controlador de domínio estiver em um computador que esteja executando o Windows Server 2008 ou o Windows Server 2003 e o esquema do Active Directory tiver sido atualizado para dar suporte a esse recurso, contas de serviço gerenciadas poderão ser usadas e as senhas das contas de serviço serão gerenciadas automaticamente. No entanto, o administrador do domínio que estiver usando esses sistemas operacionais de servidor ainda precisará configurar manualmente os dados SPN dessas contas.

Para usar contas de serviço gerenciadas nas plataformas Windows Server 2008, no Windows Server 2003 ou em ambientes de domínio de modo misto, as seguintes alterações de esquema devem ser aplicadas:

  • Execute adprep /forestprep no nível da floresta.

  • Execute adprep /domainprep em todos os domínios onde as contas de serviço gerenciadas devem ser criadas e usadas.

  • Implante um controlador de domínio que esteja executando o Windows Server 2008 R2 no domínio para gerenciar contas de serviço gerenciadas usando cmdlets do Windows PowerShell.

    Para obter mais informações, consulte Adprep.

Para obter mais informações sobre o gerenciamento de SPNs, consulte Nomes das Entidades de Serviço.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft