Exportar (0) Imprimir
Expandir Tudo

Guia Passo a Passo de Contas de Serviço:

Atualizado: agosto de 2010

Aplica-se a: Windows 7, Windows Server 2008 R2

As contas virtuais e as contas de serviço gerenciado são dois novos tipos de contas introduzidos no Windows Server® 2008 R2 e no Windows® 7 a fim de aprimorar o isolamento de serviços e a capacidade de gerenciamento de aplicativos de rede como o Microsoft Exchange e o IIS (Serviços de Informações da Internet).

Este guia passo a passo contém informações detalhadas sobre o modo de configurar e administrar contas virtuais e contas de serviço gerenciadas em computadores clientes que estejam executando o Windows Server 2008 R2 e o Windows 7. Este documento inclui:

  • Conceitos de conta virtual e conta de serviço gerenciada.

  • Requisitos de suporte de controlador de domínio e cliente para contas virtuais e contas de serviço gerenciadas.

  • Ferramentas necessárias para configurar e administrar contas virtuais e contas de serviço gerenciadas.

  • Etapas para configurar e administrar contas virtuais e contas de serviço gerenciadas.

  • Usando contas virtuais.

  • Solucionando problemas de contas virtuais e contas de serviço gerenciadas.

  • APIs (interfaces de programação de aplicativos) para contas de serviço gerenciadas.

Conceitos de conta virtual e conta de serviço gerenciada

Um dos desafios à segurança dos aplicativos de rede essenciais (como o Exchange e o IIS) é selecionar o tipo de conta apropriado a ser utilizado por eles.

Em um computador local, um administrador pode configurar o aplicativo para executar como Serviço Local, Serviço de Rede ou Sistema Local. Essas contas de serviço são simples de configurar e usar, mas estão normalmente compartilhadas entre vários aplicativos e serviços, e não podem ser gerenciadas no nível de domínio.

Se você configurar o aplicativo para usar uma conta de domínio, poderá isolar os privilégios do aplicativo, mas precisará gerenciar senhas manualmente ou criar uma solução personalizada para esse objetivo. Muitos aplicativos de servidor usam essa estratégia para melhorar a segurança, mas essa estratégia exige mais administração e complexidade.

Nessas implantações, os administradores de serviço gastam uma quantidade de tempo considerável em tarefas de manutenção (por exemplo, gerenciamento de senhas de serviço e de SPNs [nomes das entidades de usuário]) necessárias para autenticação Kerberos. Além disso, essas tarefas de manutenção podem interromper o serviço.

Os dois novos tipos de contas disponíveis no Windows Server 2008 R2 e no Windows 7 — a conta de serviço gerenciado e a conta virtual — destinam-se a fornecer aos aplicativos essenciais, como o Exchange ou o IIS, isolamento de suas próprias contas e, ao mesmo tempo, eliminar a necessidade da administração manual do SPN e das credenciais dessas contas.

As contas de serviço gerenciadas no Windows Server 2008 R2 e no Windows 7 são contas de domínio gerenciadas que oferecem os seguintes recursos a fim de simplificar a administração de serviços:

  • Gerenciamento automático de senhas.

  • Gerenciamento SPN simplificado, incluindo delegação de gerenciamento a outros administradores. Gerenciamento de SPN automático adicional está disponível no nível funcional de domínio do Windows Server 2008 R2. Para obter mais informações, consulte "Requisitos para usar contas de serviço gerenciado e contas virtuais" neste documento.

As contas virtuais no Windows Server 2008 R2 e no Windows 7 são "contas locais gerenciadas" que oferecem os seguintes recursos a fim de simplificar a administração de serviços:

  • Não há necessidade de gerenciamento de senhas.

  • Capacidade de acesso à rede com uma identidade de computador em um ambiente de domínio.

Requisitos para uso das contas de serviço gerenciadas e contas virtuais

Para usar as contas de serviço gerenciadas e as contas virtuais, o computador cliente no qual o aplicativo ou serviço está instalado deve estar executando o Windows Server 2008 R2 ou o Windows 7. No Windows Server 2008 R2 e no Windows 7, uma conta de serviço gerenciada pode ser usada para os serviços de um único computador. Contas de serviço gerenciadas não podem ser compartilhadas entre vários computadores e não podem ser usadas em clusters de servidores nos quais um serviço seja replicado para vários nós de cluster.

Os domínios no nível funcional Windows Server 2008 R2 oferecem suporte nativo para gerenciamento automático de senha e gerenciamento de SPN. Se o domínio estiver em execução nos níveis funcionais Windows Server 2003 ou Windows Server 2008, serão necessárias etapas de configuração adicionais para dar suporte a contas de serviço gerenciado. Isso significa que:

  • Se o domínio estiver no nível funcional Windows Server 2008 R2, o gerenciamento de SPN de contas de serviço gerenciado será simplificado. Especificamente, a parte de DNS do SPN da conta de serviço gerenciado é alterada de oldname.domain-dns-suffix.com para newname.domain-dns-suffix.com para todas as contas de serviço gerenciado instaladas no computador nestas quatro situações:

    • A propriedade samaccountname do computador é alterada.

    • A propriedade de nome DNS do computador é alterada.

    • Uma propriedade samaccountname é adicionada para o computador.

    • Uma propriedade dns-host-name é adicionada para o computador.

  • Se o controlador de domínio estiver em um computador que está executando o Windows Server 2008 ou Windows Server 2003, mas o esquema do Active Directory tiver sido atualizado para o Windows Server 2008 R2 para dar suporte a esse recurso, as contas de serviço gerenciado poderão ser usadas e as senhas das contas de serviço serão gerenciadas automaticamente. No entanto, o administrador do domínio que estiver usando esses sistemas operacionais de servidor ainda precisará configurar manualmente os dados SPN dessas contas.

Para usar contas de serviço gerenciadas nas plataformas Windows Server 2008, Windows Server 2003 ou em ambientes de domínio de modo misto, conclua as seguintes tarefas:

  1. Execute adprep /forestprep no nível da floresta.

    noteObservação
    Para obter mais informações, consulte Adprep.

  2. Execute adprep /domainprep em todos os domínios onde as contas de serviço gerenciadas devem ser criadas e usadas.

  3. Implante um controlador de domínio cujo domínio tenha um dos sistemas operacionais a seguir:

Para obter mais informações sobre o gerenciamento de SPNs, consulte Nomes das Entidades de Serviço.

As ferramentas da tabela a seguir são necessárias para configurar e administrar contas de serviço gerenciadas.

 

Ferramenta Local de disponibilidade

Interface de linha de comando do Windows PowerShell

Windows Server 2008 R2 e Windows 7

Cmdlets de conta de serviço gerenciada

Windows Server 2008 R2 e Windows 7

Dsacls.exe

Windows Server 2008 R2 e Windows 7

Installutil.exe

Windows Server 2008 R2 e Windows 7

Ferramenta de linha de comando Sc.exe e interface de usuário do Gerenciador de Controle de Serviço

Windows Server 2008 R2 e Windows 7

Console de snap-in de serviços

Windows Server 2008 R2 e Windows 7

SetSPN.exe

Faça o download de http://go.microsoft.com/fwlink/?LinkID=44321 (a página pode estar em inglês)

NTRights.exe

Faça o download de http://go.microsoft.com/fwlink/?LinkId=130308 (a página pode estar em inglês)

ImportantImportante
Apesar de algumas versões do snap-in Usuários e Computadores do Active Directory permitirem que um administrador crie um novo objeto msDS-ManagedServiceAccount, as contas de serviço gerenciadas criadas usando esse snap-in não terão atributos essenciais. Portanto, não use essa opção para criar contas de serviço gerenciadas. Somente o Windows PowerShell deve ser usado para criar contas de serviço gerenciadas.

Antes de usar cmdlets de conta de serviço gerenciada, é necessário instalar o .NET Framework 3.5x e o módulo do Active Directory para Windows PowerShell no cliente ou no servidor.

Para instalar o .NET Framework e o módulo do Active Directory para o Windows PowerShell em um computador com Windows Server 2008 R2

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciador de Servidores.

  2. Em Recursos, clique em Adicionar Recursos.

  3. Na página Selecionar Recursos do Assistente para Adicionar Recursos, expanda Recursos do NET Framework 3.5.1 e selecione .NET Framework 3.5.1.

  4. Clique em Avançar e, em seguida, clique em Instalar.

  5. Expanda Ferramentas de Administração do Servidor Remoto e Ferramentas do AD DS e AD LDS. Em seguida, selecione Snap-in Active Directory do PowerShell.

  6. Clique em Avançar e, em seguida, clique em Instalar.

  7. Quando a instalação estiver concluída, feche o Assistente para Adicionar Recursos.

Para instalar o .NET Framework e o módulo do Active Directory para o Windows PowerShell em um computador com Windows 7

  1. Abra um navegador da Web e baixe para seu disco rígido as Ferramentas de Administração do Servidor Remoto em http://go.microsoft.com/fwlink/?LinkId=153874 (a página pode estar em inglês).

  2. Clique duas vezes no arquivo baixado e siga as instruções para instalar as Ferramentas de Administração do Servidor Remoto.

  3. Clique em Iniciar e em Painel de Controle.

  4. Clique em Programas, clique em Programas e Recursos e, no painel esquerdo, clique em Ativar ou desativar recursos do Windows.

  5. Verifique se o Microsoft .NET Framework 3.5.1 está selecionado. Caso não esteja, selecione.

  6. Expanda Ferramentas de Administração do Servidor Remoto e Ferramentas do AD DS e AD LDS. Em seguida, selecione Snap-in Active Directory do PowerShell.

  7. Clique em OK.

    noteObservação
    Se você teve que ativar o .NET Framework, o sistema solicitará que você reinicie o computador.

Para obter mais informações, consulte a Ajuda do Cmdlet do Windows PowerShell (a página pode estar em inglês).

Visão geral da configuração e administração de contas de serviço gerenciadas

As seções a seguir apresentam procedimentos para configurar e usar contas de serviço gerenciadas. Entre os procedimentos, estão:

  • Criar e usar contas de serviço gerenciadas com o contêiner padrão Conta de Serviço Gerenciada.

  • Transferir contas de serviço para outro computador.

  • Migrar de uma conta de usuário para uma conta de serviço gerenciada.

  • Redefinir uma senha de uma conta de serviço gerenciada.

Esses cenários possuem duas funções administrativas:

  • O administrador de domínio pode criar, administrar e delegar gerenciamento em contas de serviço gerenciadas no AD DS (Serviços de Domínio Active Directory). Além disso, qualquer usuário com permissões Create/Delete msDS-ManagedServiceAccount pode administrar essas contas de serviço gerenciado.

  • O administrador de serviços instala e gerencia as contas em um computador que esteja executando Windows Server 2008 R2 ou Windows 7, onde esses computadores são usados para executar um aplicativo ou serviço. Um usuário nessa função precisa ser membro do grupo local Administradores no computador.

O Windows Server 2008 R2 contém todos os cmdlets do Windows PowerShell necessários para provisionar e administrar as contas de serviço gerenciadas.

Os cmdlets do Windows PowerShell podem ser usados para criar, ler, atualizar e excluir contas de serviço gerenciadas em um controlador de domínio. Não há suporte de interface de usuário para a criação e gerenciamento dessas contas no Windows Server 2008 R2 e no Windows 7.

Os administradores de serviços podem usar os cmdlets do Windows PowerShell para instalar e desinstalar as contas, bem como para redefinir senhas para essas contas em um computador que esteja executando o Windows Server 2008 R2 ou o Windows 7. Após a instalação de uma conta de serviço gerenciada, os administradores de serviços podem configurar um serviço ou aplicativo para usar essa conta. Não será mais necessário especificar ou alterar senhas para esses serviços porque as senhas da conta serão automaticamente mantidas pelo computador. O administrador de serviços poderá configurar o SPN na conta de serviço sem necessitar de privilégios de administrador de domínio.

Criando e usando contas de serviço gerenciadas

Os procedimentos a seguir podem ser usados para criar e administrar contas de serviço gerenciadas.

Para importar o módulo do Active Directory para Windows PowerShell

  1. Clique em Iniciar, Todos os Programas, clique em Windows PowerShell 2.0 e clique no ícone do Windows PowerShell.

  2. Execute o seguinte comando: Import-Module ActiveDirectory.

Para criar uma nova conta de serviço gerenciada

  1. No controlador de domínio, clique em Iniciar e em Executar. Na caixa Abrir, digite dsa.msc, e clique em OK para abrir o snap-in Usuários e Computadores do Active Directory. Verifique se o contêiner Conta de Serviço Gerenciada existe.

  2. Clique em Iniciar, Todos os Programas, clique em Windows PowerShell 2.0 e clique no ícone do Windows PowerShell.

  3. Execute o seguinte comando: New-ADServiceAccount [-SAMAccountName <String>] [-Path <String>].

noteObservação
Os parâmetros opcionais são mostrados entre colchetes [], e os valores de espaço reservado são mostrados entre chaves <>.

Você pode usar o parâmetro OtherAttributes para definir propriedades adicionais no novo objeto. Usando o parâmetro Instance, você também pode criar novos objetos com base em um modelo definido. Os parâmetros adicionais a seguir podem ser usados com esse cmdlet:

[-OtherAttributes <Hashtable>] 
[-Instance <ADService>] 
[-Server <String>] [-Credential <PSCredential>]
[-PassThru] 
[-Name <String>] [-Description <String>] [-DisplayName <String>][-Enabled <Nullable`1>]
[-ServicePrincipalNames <String[]>]
[-AccountExpirationDate <Nullable`1>] [-AccountNotDelegated <Nullable`1>] [-AccountPassword <SecureString>] 
[-AllowReversiblePasswordEncryption <Nullable`1>] [-CannotChangePassword <Nullable`1>] [-Certificates <String[]>] 
[-ChangePasswordAtLogon <Nullable`1>] [-HomePage <String>] [-PasswordNeverExpires <Nullable`1>] 
[-PasswordNotRequired <Nullable`1>] [-PermittedLogonTime <String>] [-PrimaryGroup <String>]

Após a criação de uma ou mais contas de serviço gerenciadas, pode ser necessário obter informações sobre essas contas.

Para obter informações sobre contas de serviço gerenciadas no AD DS

  1. Clique em Iniciar, Todos os Programas, clique em Windows PowerShell 2.0 e clique no ícone do Windows PowerShell.

  2. Execute o seguinte comando: Get-ADServiceAccount [-Identity] <ADServiceAccount> [-Server <String>] [-Credential <PSCredential>] [-LDAPFilter <String>] [-Filter <String>] [-WhatIf] [Common PowerShell Parameters].

Caso a conta de serviço já existe no AD DS, você poderá usar o cmdlet a seguir para transformar a conta de serviço em uma conta de serviço gerenciada.

Para definir as propriedades em uma conta de serviço gerenciada existente

  1. Clique em Iniciar, Todos os Programas, clique em Windows PowerShell 2.0 e clique no ícone do Windows PowerShell.

  2. Execute o seguinte comando: Set-ADServiceAccount [-Identity] <ADServiceAccount>.

Se a conta de serviço gerenciada não estiver mais sendo usada, será possível removê-la do AD DS.

Para remover uma conta de serviço gerenciada do AD DS

  1. Clique em Iniciar, Todos os Programas, clique em Windows PowerShell 2.0 e clique no ícone do Windows PowerShell.

  2. Execute o seguinte comando: Remove-ADServiceAccount [-Identity] <ADServiceAccount> [-Partition <String>] [-Confirm] [-WhatIf] [-PassThru] [-Server <String>] [-Credential <PSCredential>] [Common PowerShell Parameters].

Os cmdlets a seguir devem ser executados por um administrador local ou por um administrador de serviços no computador executando o Windows Server 2008 R2 ou o Windows 7 que hospeda o aplicativo. O primeiro cmdlet instala a conta de serviço gerenciada.

Para instalar uma conta de serviço gerenciada em um computador local

  1. Clique em Iniciar, Todos os Programas, clique em Windows PowerShell 2.0 e clique no ícone do Windows PowerShell.

  2. Execute o seguinte comando: Install-ADServiceAccount [-Identity] <ADServiceAccount> [-Confirm] [-WhatIf] [-Credential <PSCredential>].

WarningAviso
O atributo de nome de conta deve corresponder ao nome da conta no banco de dados do SAM (Gerenciador de Contas de Segurança). Se o atributo de nome de conta não corresponder ao nome da conta do SAM, ocorrerá uma falha na instalação com o erro 0xC0000225.

As etapas a seguir descrevem como configurar o serviço para ser executado na conta de serviço gerenciada. Você pode concluir essa tarefa usando o console de snap-in de Serviços (Service.msc) ou usando a API CreateService.

Para usar o console de snap-in de Serviços a fim de configurar um serviço para utilização de uma conta de serviço gerenciada

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços.

  2. Quando as permissões forem solicitadas, clique em Continuar.

  3. Clique com o botão direito no nome do serviço que deseja utilizar e clique em Propriedades.

  4. Clique na guia Logon, clique em Esta conta e digite o nome da conta de serviço gerenciada no formato nome_do_domínio\nome_da_conta ou clique em Procurar para localizar a conta. Verifique se o campo da senha está em branco e clique em OK.

  5. Selecione o nome do serviço e clique em Iniciar o serviço ou Reiniciar o serviço. Verifique se o nome da conta recém-configurada aparece na coluna Fazer Logon como do serviço.

ImportantImportante
No console do snap-in de Serviços, deve haver um cifrão ($) no final do nome da conta. Quando você usa o console do snap-in de serviços, o direito de logon SeServiceLogonRight é automaticamente atribuído à conta. Se você usar a ferramenta Sc.exe ou APIs para configurar a conta, ela terá esse direito concedido explicitamente usando ferramentas como o snap-in Diretiva de Segurança, Secedit.exe ou NTRights.exe.

Se uma conta de serviço gerenciada não estiver mais sendo usada no computador, haverá a possibilidade de um administrador local remover a conta do computador local.

Para remover uma conta de serviço gerenciada de um computador local

  1. Clique em Iniciar, Todos os Programas, clique em Windows PowerShell 2.0 e clique no ícone do Windows PowerShell.

  2. Execute o seguinte comando: Uninstall-ADServiceAccount [-Identity] <ADServiceAccount> [-Confirm] [-WhatIf] [-Credential <PSCredential>].

As senhas das contas de serviço gerenciadas são redefinidas regularmente com base nos requisitos de redefinição de senha do domínio. Apesar disso, um administrador local poderá redefinir a senha manualmente caso seja necessário.

Configurar uma conta de serviço para os Serviços de Informação da Internet

As organizações que desejam aprimorar o isolamento dos aplicativos IIS podem configurar pools de aplicativos IIS para executar contas de serviço gerenciadas.

Para usar o snap-in Gerenciador IIS a fim de configurar um serviço para utilização de uma conta de serviço gerenciada

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciador dos Serviços de Informações da Internet (IIS).

  2. Clique duas vezes em <Nome do computador>, clique duas vezes em Pools de Aplicativos, clique com o botão direito em <Nome do Pool> e clique em Configurações Avançadas.

  3. Na caixa Identidade, clique em , clique em Conta Personalizada e clique em Definir.

  4. Digite o nome da conta de serviço gerenciada no formato nome_do_domínio\nome_da_conta.

    ImportantImportante
    Deixe a senha em branco e verifique se o nome da conta tem um cifrão ($) no final.

  5. Em Tarefas do Pool de Aplicativos, clique em Parar e clique em Iniciar.

Delegando o gerenciamento de contas de serviços gerenciadas

É possível que um administrador de domínio queira delegar o gerenciamento de contas de serviço a um administrador de serviços. Não há cmdlets do Windows PowerShell para delegação de gerenciamento no AD DS. Use uma ferramenta como Dsacls.exe para delegar o gerenciamento de contas de serviço a um administrador de serviços.

Um administrador de serviços delegado deve ter as seguintes permissões:

  • Excluir

  • Leitura

  • Listar conteúdo

  • Ler propriedade

  • Listar objeto

  • Controlar acesso

  • Write_property para restrições de conta

  • Write_property para informações de logon

  • Write_property para descrição

  • Write_property para displayName

  • Write_self para gravação validada no nome de host DNS

  • Write_self para nome de entidade de serviço com gravação validada

O procedimento a seguir contém uma amostra de script Dsacls que mostra como é possível configurar permissões delegadas para contas de serviço gerenciadas.

Para delegar o gerenciamento de uma conta de serviço no AD DS

  1. Abra uma janela de prompt de comando.

  2. Execute o script Dsacls a seguir (substituindo corpnet e contoso pelos nomes de suas redes): dsacls "CN=svcacc1,CN=Managed Service Accounts,DC=<corpnet>,DC=<contoso>,DC=<com>" /G "<Corpnet>\ServiceAdmin:SDRCLCRPLOCA" "<Corpnet>\ServiceAdmin:WP;Logon Information" "<Corpnet>\ServiceAdmin:WP;Description" "<Corpnet>\ServiceAdmin:WP;DisplayName" "<Corpnet>\ServiceAdmin:WP;Account Restrictions" "<Corpnet>\ServiceAdmin:WS;Validated write to DNS host name" "<Corpnet>\ServiceAdmin:WS;Validated write to service principal name".

noteObservação
Para obter mais informações, consulte Dsacls.

Criando e usando contas de serviço gerenciadas em uma OU separada

Os processos para criar e usar contas de serviço gerenciadas em uma OU (unidade organizacional) separada são parecidos com os do primeiro cenário. A diferença é que muitas organizações podem optar por criar uma nova OU a fim de permitir que as contas de serviço gerenciadas sejam gerenciadas separadamente de outro usuário, computador ou contas especiais do domínio.

Para obter mais informações sobre a criação e o gerenciamento de OUs, consulte Gerenciando Unidades Organizacionais.

Criando e usando contas de serviço gerenciadas em uma OU separada; delegando a administração da OU a um administrador de serviços

Os processos para criar e usar contas de serviço gerenciadas em uma OU separada são parecidos com os do primeiro e do segundo cenários. A diferença é que é possível delegar o gerenciamento da nova OU antes de ir para as outras tarefas.

Para obter mais informações, consulte Delegar o Controle de uma Unidade Organizacional.

Transferindo uma conta de serviço gerenciada para outro computador

Aplicativos como o IIS e o Exchange são essenciais para as organizações e os usuários. Como consequência, grande parte das organizações mantém esses serviços nos equipamentos mais atuais e confiáveis disponíveis. Isso significa que os administradores devem planejar cuidadosamente a transferência desses serviços de um computador para outro.

As etapas a seguir o ajudarão a transferir os serviços essenciais que dependem de contas de serviço gerenciadas de um computador para outro. Elas podem ser realizadas por um administrador de serviços no computador local.

Para transferir uma conta de serviço gerenciada de um computador para outro

  1. No primeiro computador, clique em Iniciar, Todos os Programas, clique em Windows PowerShell 2.0 e clique no ícone do Windows PowerShell.

  2. Execute o seguinte cmdlet do Windows PowerShell: Uninstall-ADServiceAccount.

  3. No segundo computador, clique em Iniciar, Todos os Programas, clique em Windows PowerShell 2.0 e clique no ícone do Windows PowerShell.

  4. Execute o seguinte cmdlet do Windows PowerShell: Install-ADServiceAccount.

  5. Use o console do snap-in de Serviços a fim de configurar o serviço para ser executado na conta de serviço gerenciada.

Migrando um serviço de uma conta de usuário para uma conta de serviço gerenciada

Algumas organizações configuram um aplicativos para que use uma conta de usuário especial, de modo que seja possível restringir permissões de acesso em um ou mais arquivos de recurso, como um banco de dados. Se você quiser transferir um serviço essencial desse tipo de conta de usuário para uma conta de serviço gerenciada, será necessário atualizar as configurações de controle de acesso.

Para migrar um serviço de uma conta de usuário para uma conta de serviço gerenciada

  1. Se necessário, um administrador de domínio cria uma nova conta de serviço gerenciado no AD DS usando o cmdlet New-ADServiceAccount do Windows PowerShell.

  2. O administrador de serviço instala a conta de serviço gerenciado no computador local usando o cmdlet Install-ADServiceAccount do Windows PowerShell.

  3. O administrador de serviços deve configurar o serviço de modo a ser executado com a conta de serviço gerenciada.

  4. O administrador de serviço deve configurar as listas de controle de acesso para a conta de serviço gerenciada nos recursos de serviço. Para obter mais informações, consulte Lista de Verificação: configuração dos Controles de Acesso nos Objetos.

Migrando de uma conta de serviço gerenciado para outra

Este cenário é semelhante ao cenário anterior. A diferença é que ele envolve duas contas de serviço gerenciadas em vez de uma conta de serviço gerenciada e uma conta de usuário.

Redefinindo uma senha de uma conta de serviço gerenciada

Mesmo com o gerenciamento automático de senhas, há momentos em que pode ser necessário redefinir manualmente a senha de uma conta de serviço gerenciada.

Para redefinir a senha de uma conta de serviço gerenciada

  1. Clique em Iniciar, Todos os Programas, clique em Windows PowerShell 2.0 e clique no ícone do Windows PowerShell.

  2. Execute o seguinte comando: Reset-ADServiceAccountPassword [-Identity] <ADServiceAccount> [-Credential <PSCredential>] [-Server <String>].

ImportantImportante
Você pode modificar o intervalo de alteração da senha padrão das contas de serviço gerenciadas usando a diretiva de domínio Membro de domínio: duração máxima de senha de conta de computador em Diretiva Local\Opções de Segurança. No entanto, não é possível usar as configurações de Diretiva de Grupo em Diretivas de Conta\Diretiva de Senha para modificar intervalos de redefinição de senha da conta de serviço gerenciada. Além disso, embora o comando NLTEST /SC_CHANGE_PWD:<domain> possa ser usado para redefinir senhas de conta de computador, não é possível usá-lo para redefinir senhas de conta de serviço gerenciado. Para obter mais informações sobre o gerenciamento de senhas, consulte o Guia passo a passo para configuração da diretiva de bloqueio de senhas e contas refinadas.

Usando contas virtuais

As contas virtuais necessitam de pouco gerenciamento. Elas não podem ser criadas nem excluídas, e não necessitam de gerenciamento de senhas.

Você deve ser um membro do grupo Administradores do computador local para realizar os procedimentos a seguir.

Para configurar um serviço que use uma conta virtual

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços.

  2. No painel de detalhes, clique com o botão direito no serviço que deseja configurar e clique em Propriedades.

  3. Na guia Logon, clique em Esta conta e digite NT SERVICE\ServiceName. Quando tiver terminado, clique em OK.

  4. Reinicie o serviço para que a alteração tenha efeito.

As organizações que desejam aprimorar o isolamento de serviço de IIS podem configurar pools de aplicativos IIS para serem executados com contas virtuais.

Você deve ser um membro do grupo Administradores do computador local para realizar o(s) procedimento(s) a seguir.

Para configurar um pool de aplicativos IIS a fim de usar uma conta virtual

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciador dos Serviços de Informações da Internet (IIS).

  2. Clique duas vezes em <Nome do computador>, clique duas vezes em Pools de Aplicativos, clique com o botão direito em <Nome do Pool> e clique em Configurações Avançadas.

  3. Na caixa Identidade, clique em ApplicationPoolIdentity.

    noteObservação
    No Windows Server 2008 R2 e no Windows 7, os pools de aplicativos IIS são executados em ApplicationPoolIdentity por padrão.

  4. Em Tarefas do Pool de Aplicativos, clique em Parar e clique em Iniciar.

APIs para contas de serviço gerenciadas

As API a seguir encontram-se disponíveis publicamente para contas de serviços gerenciadas e seus comportamentos. Você deve ser um membro do grupo local Administradores para usar as APIs.

NetAddServiceAccount

A API NetAddServiceAccount é usada para criar uma conta de serviço gerenciada.

Sintaxe

NTSTATUS WINAPI NetAddServiceAccount( 
  __in_opt  LPWSTR ServerName, 
  __in      LPWSTR AccountName, 
  __in      LPWSTR Reserved, 
  __in      DWORD Flags 
);

Parâmetros

Os seguintes parâmetros estão disponíveis:

 

Parâmetro Descrição

ServerName [in, optional]

Essa API é somente local no momento. O parâmetro deve sempre ser NULL.

AccountName [in]

O nome da conta a ser criada.

Reserved [in]

Reservada. Não use.

Flags [in]

SERVICE_ACCOUNT_FLAG_LINK_TO_HOST_ONLY 0x00000001L

Nenhuma conta de serviço é criada. Caso exista uma conta de serviço com um nome especificado, ela será vinculada ao computador local.

NetRemoveServiceAccount

Essa função exclui a conta de serviço especificada do banco de dados do Active Directory. O segredo armazenado em LSA (Autoridade de Segurança Local) é excluído e o estado é armazenado no repositório de registros Netlogon.

Sintaxe

NTSTATUS WINAPI NetRemoveServiceAccount( 
  __in_opt  LPWSTR ServerName, 
  __in      LPWSTR AccountName, 
  __in      DWORD Flags 
);

Parâmetros

Os seguintes parâmetros estão disponíveis:

 

Parâmetro Descrição

ServerName [in, optional]

Essa API é somente local no momento. O parâmetro deve sempre ser NULL.

AccountName [in]

O nome da conta a ser excluída.

Flags [in]

SERVICE_ACCOUNT_FLAG_UNLINK_FROM_HOST_ONLY 0x00000001L

O objeto da conta de serviço é removido do computador local e o segredo armazenado em LSA é excluído. O objeto da conta de serviço não é excluído do banco de dados do Active Directory.

Retornar valor

Se a função obtiver êxito, o valor retornado será STATUS_SUCCESS.

Se a função falhar, será exibido um código de erro.

NetIsServiceAccount

A função verifica a existência da conta de serviço especificada no repositório Netlogon do servidor especificado.

Sintaxe

NTSTATUS WINAPI NetIsServiceAccount(  
  __in_opt  LPWSTR ServerName,  
  __in      LPWSTR AccountName,  
  __out     BOOL *IsService  
);

Parâmetros

Os seguintes parâmetros estão disponíveis:

 

Parâmetro Descrição

ServerName [in, optional]

Essa API é somente local no momento. O parâmetro deve sempre ser NULL.

AccountName [in]

O nome da conta a ser testada.

IsService [out]

TRUE se a conta de serviço especificado existir no servidor especificado ou FALSE caso ela não exista.

Retornar valor

Se a função obtiver êxito, o valor retornado será STATUS_SUCCESS.

Se a função falhar, será exibido um código de erro.

NetEnumerateServiceAccounts

Essa função enumera as contas de serviço no servidor especificado.

Sintaxe

NTSTATUS WINAPI NetEnumerateServiceAccounts(  
  __in_opt  LPWSTR ServerName,  
  __in      DWORD Flags,  
  __out     DWORD *AccountsCount,  
  __out     PZPWSTR *Accounts  
);

Parâmetros

Os seguintes parâmetros estão disponíveis:

 

Parâmetro Descrição

ServerName [in, optional]

Essa API é somente local no momento. O parâmetro deve sempre ser NULL.

Flags [in]

Reservada. Não use. O valor deve ser 0.

AccountsCount [out]

O número de elementos na matriz Contas.

Accounts [out]

Um ponteiro para uma matriz dos nomes das contas de serviço no servidor especificado. O chamador deve usar NetAPIBufferFree para liberar o buffer.

Retornar valor

Se a função obtiver êxito, o valor retornado será STATUS_SUCCESS.

Se a função falhar, será exibido um código de erro.

Solucionando problemas de contas de serviço gerenciadas

Se um serviço não for iniciado com uma conta de serviço gerenciada, use as etapas a seguir para solucionar o problema.

Para corrigir problemas que evitam o início de um serviço associado a uma conta de serviço gerenciada

  1. Execute o seguinte comando do Windows PowerShell para verificar se a conta de serviço gerenciado existe e se está ativada no AD DS: Get-ADServiceAccount [-Identity] <ADServiceAccount> [-Server <String>] [-Credential <PSCredential>] [-LDAPFilter <String>] [-Filter <String>] [-WhatIf] [Common PowerShell Parameters].

  2. Verifique se o nome da conta de serviço termina com um cifrão ($).

  3. Execute o seguinte comando do Windows PowerShell para verificar se a conta está instalada no computador. Install-ADServiceAccount [-Identity] <ADServiceAccount> [-Confirm] [-WhatIf] [-Credential <PSCredential>].

  4. Use NTRights.exe, Secedit.exe ou o snap-in Diretiva de Segurança Local (secpol.msc) para verificar se a conta possui o direito de logon SeServiceLogonRight. O comando a seguir mostra como realizar esse procedimento usando NTRights.exe: NTRights +r SeServiceLogonRight –u <nome da conta>.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft