Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Uma conta de serviço é uma conta de usuário criada explicitamente para fornecer um contexto de segurança para serviços que estão sendo executados em sistemas operacionais Windows Server. O contexto de segurança determina a capacidade do serviço de acessar recursos locais e de rede. Os sistemas operacionais Windows dependem de serviços para executar vários recursos. Esses serviços podem ser configurados por meio dos aplicativos, do snap-in Serviços ou do Gerenciador de Tarefas, ou usando o Windows PowerShell.
Este artigo contém informações sobre os seguintes tipos de contas de serviço:
- Contas de Serviço Gerenciado Autônomas (sMSA)
- Contas de Serviço Gerenciado de Grupo (gMSA)
- Contas de Serviço Gerenciado Delegado (dMSA)
- Contas virtuais
Contas de serviço gerenciadas autônomas
As Contas de Serviço Gerenciado são projetadas para isolar contas de domínio em aplicativos cruciais, como o IIS (Serviços de Informações da Internet). Eles eliminam a necessidade de um administrador administrar manualmente o SPN (nome da entidade de serviço) e as credenciais das contas.
Uma Conta de Serviço Gerenciado pode ser usada para serviços em um único computador. As Contas de Serviço Gerenciado não podem ser compartilhadas entre vários computadores. Eles também não podem ser usados em clusters de servidor em que um serviço é replicado em vários nós de cluster. Para esse cenário, você deve usar uma conta de serviço gerenciado de grupo. Para obter mais informações, consulte a Visão geral de Contas de Serviço Gerido de Grupo .
Além da segurança aprimorada fornecida por ter contas individuais para serviços críticos, há quatro benefícios administrativos importantes associados às Contas de Serviço Gerenciado:
Você pode criar uma classe de contas de domínio que pode ser usada para gerenciar e manter serviços em computadores locais.
Ao contrário das contas de domínio em que os administradores devem redefinir manualmente as senhas, as senhas de rede para essas contas são redefinidas automaticamente.
Não é necessário concluir tarefas complexas de gerenciamento de SPN para usar Contas de Serviço Gerenciado.
Você pode delegar tarefas administrativas para Contas de Serviço Gerenciado a contas não administrativas.
Note
As contas de serviço gerenciado aplicam-se somente aos sistemas operacionais Windows listados na seção Aplica-se a no início deste artigo.
Contas de Serviço Geridas pelo Grupo
As Contas de Serviço Gerenciado de Grupo são uma extensão das Contas de Serviço Gerenciado autônomas. Essas contas são contas de domínio gerenciadas que fornecem gerenciamento automático de senhas e gerenciamento simplificado de SPN, incluindo delegação de gerenciamento a outros administradores.
Uma Conta de Serviço Gerenciado de grupo fornece a mesma funcionalidade que uma Conta de Serviço Gerenciado autônoma dentro do domínio, mas estende essa funcionalidade por vários servidores. Quando se está a ligar a um serviço hospedado numa granja de servidores, como o Balanceamento de Carga de Rede, os protocolos de autenticação que suportam a autenticação mútua exigem que todas as instâncias dos serviços utilizem a mesma entidade de segurança. Quando as Contas de Serviço Gerenciado de grupo são usadas como entidades de serviço, o sistema operacional Windows Server gerencia a senha da conta em vez de depender do administrador para gerenciar a senha.
O Serviço de Distribuição de Chaves da Microsoft (kdssvc.dll) fornece o mecanismo para obter com segurança a chave mais recente ou uma chave específica com um identificador de chave para uma conta do Ative Directory. Este serviço foi introduzido no Windows Server 2012 e não é executado em versões anteriores do sistema operacional Windows Server. Kdssvc.dll compartilha um segredo, que é usado para criar chaves para a conta. Essas chaves são alteradas periodicamente. Para uma conta de serviço gerenciado de grupo, o controlador de domínio (DC) calcula a senha na chave fornecida por kdssvc.dll, além de outros atributos da conta de serviço gerenciado de grupo.
Contas de serviço gerenciadas delegadas
Um novo tipo de conta chamada Conta de Serviço Gerenciado delegado (dMSA) é introduzido no Windows Server 2025. Esse tipo de conta permite que você faça a transição de contas de serviço tradicionais para contas de máquina que tenham chaves gerenciadas e totalmente aleatórias, além de desabilitar as senhas originais da conta de serviço. A autenticação para dMSA está vinculada à identidade do dispositivo, o que significa que apenas identidades de máquina especificadas mapeadas no AD podem acessar a conta. Usando o dMSA, você pode evitar o problema comum de coleta de credenciais por meio de uma conta comprometida associada a contas de serviço tradicionais.
Você pode criar uma dMSA como uma conta autônoma ou substituir uma conta de serviço padrão existente por ela. Se uma conta existente for substituída por uma dMSA, a autenticação através da palavra-passe da conta antiga será bloqueada. Em vez disso, a solicitação é redirecionada para a Autoridade de Segurança Local (LSA) para autenticação por meio do dMSA, que tem acesso aos mesmos recursos da conta anterior no AD. Para saber mais, consulte visão geral das Contas de Serviço Gerenciado Delegado.
Contas virtuais
As contas virtuais são contas locais gerenciadas que simplificam a administração do serviço, fornecendo os seguintes benefícios:
- A conta virtual é gerenciada automaticamente.
- A conta virtual pode acessar a rede em um ambiente de domínio.
- Não é necessário gerenciamento de senhas. Por exemplo, se o valor padrão for usado para as contas de serviço durante a instalação do SQL Server no Windows Server, uma conta virtual que usa o nome da instância como o nome do serviço será estabelecida no formato
NT SERVICE\<SERVICENAME>.
Os serviços executados como contas virtuais acessam recursos de rede usando as credenciais da conta de computador, no formato <domain_name>\<computer_name>$.
Para saber como configurar e usar contas de serviço virtual, consulte Conceitos de conta de serviço gerenciado e conta virtual.
Note
As contas virtuais aplicam-se apenas aos sistemas operativos Windows listados na lista Aplica-se a no início deste artigo.
Escolher a sua conta de serviço
As contas de serviço são usadas para controlar o acesso do serviço a recursos locais e de rede e ajudam a garantir que o serviço possa operar com segurança sem expor informações ou recursos confidenciais a usuários não autorizados. A tabela a seguir descreve as diferenças entre os tipos de conta de serviço:
| Criterion | sMSA | gMSA | dMSA | Contas virtuais |
|---|---|---|---|---|
| O aplicativo é executado em um único servidor | Yes | Yes | Yes | Yes |
| O aplicativo é executado em vários servidores | No | Yes | No | No |
| O aplicativo é executado atrás de um balanceador de carga | No | Yes | No | No |
| O aplicativo é executado no Windows Server | Yes | No | No | Yes |
| Requisito para restringir a conta de serviço a um único servidor | Yes | No | Yes | No |
| Suporta conta de máquina vinculada à identidade do dispositivo | No | No | Yes | No |
| Use para cenários de alta segurança (impedir a coleta de credenciais) | No | No | Yes | No |
Ao escolher uma conta de serviço, é importante considerar fatores como o nível de acesso exigido pelo serviço e as políticas de segurança em vigor no servidor. Você também deve avaliar as necessidades específicas do aplicativo ou serviço que está sendo executado.
sMSA: Projetado para uso em um único computador, o sMSAs fornece um método seguro e simplificado para gerenciar SPNs e credenciais. Eles gerenciam senhas automaticamente e são ideais para isolar contas de domínio em aplicativos críticos. No entanto, eles não podem ser usados em vários servidores ou em clusters de servidores.
gMSA: Estenda a funcionalidade dos sMSAs suportando vários servidores, tornando-os adequados para farms de servidores e aplicativos com balanceamento de carga. Oferecem uma gestão automática de senhas e SPN, aliviando os encargos administrativos. Os gMSAs fornecem uma única solução de identidade, permitindo que os serviços se autentiquem em várias instâncias sem problemas.
dMSA: Vincula a autenticação a identidades específicas da máquina, evitando o acesso não autorizado através da recolha de credenciais, permitindo a transição das contas de serviço tradicionais para chaves totalmente aleatórias e geridas. Os dMSAs podem substituir as contas de serviço tradicionais existentes, garantindo que apenas dispositivos autorizados possam acessar recursos confidenciais.
Contas virtuais: Uma conta local gerenciada que fornece uma abordagem simplificada para a administração de serviços sem a necessidade de gerenciamento manual de senhas. Eles podem acessar recursos de rede usando as credenciais da conta de computador, tornando-os adequados para serviços que exigem acesso ao domínio. As contas virtuais são gerenciadas automaticamente e exigem configuração mínima.
Conteúdo relacionado
| Tipo de conteúdo | References |
|---|---|
| Avaliação do produto |
O que há de novo nas contas de serviço geridas Introdução às Contas de Serviço Gerenciado de Grupo |
| Deployment | Windows Server 2012: Contas de Serviço Gerenciado de Grupo - Tech Community |
| Tecnologias relacionadas |
Princípios de segurança O que há de novo no Windows Server 2016 |