服務帳戶與受管理的服務帳戶

在 Windows環境中, 服務帳戶(Service Accounts)是用來執行應用程式、系統服務或背景處理程序的帳戶, 它們具備所需的權限以便系統能夠在沒有互動使用者登入的情況下執行任務:

服務帳戶(Service Account):

服務帳戶是一種特殊用途的帳戶, 用來執行 Windows服務(如 SQL Server、IIS應用程式集區)、背景程序(如排程工作)、應用程式(如備份軟體)w-studio.idv.tw

類型:

1. 本機系統帳戶(Local System Account)

權限非常高, 等同於本機電腦上的 Administrator, 適用於需要對系統有完全控制權的服務

2. 本機服務帳戶(Local Service Account)

權限有限, 用於在本機上執行並以匿名身份存取網路資源

3. 網路服務帳戶(Network Service Account)

權限類似本機服務帳戶, 但可使用電腦帳戶的身份向網路上的其他電腦驗證

4. 一般使用者帳戶(User Account)

管理員可手動建立專用帳戶供某個特定服務使用, 缺點是密碼需要手動管理與更新

受管理的服務帳戶(Managed Service Accounts, MSA):

MSA是由 Active Directory自動管理的帳戶, 用於解決手動服務帳戶常見的密碼管理問題

特點:

。只可指派給單一電腦上的一項服務

。密碼會由系統自動產生與定期變更

。無需系統管理員手動更新密碼

。可支援 Kerberos驗證

。沒有互動式登入權限(無法用來登入桌面)

類型:

。Standalone Managed Service Account(sMSA), 適用於單一伺服器上的服務帳戶

。Group Managed Service Account(gMSA), 可跨多部伺服器共用, 用於需要多主機共同存取的服務(如 IIS或 NLB伺服器叢集)

MSA的優點:

。自動密碼管理, 提高安全性, 降低維護負擔

。防止密碼過期導致的服務中斷

。降低帳戶洩露風險(帳戶不具互動登入權限)

。與 AD整合良好, 便於集中管理