Управление безопасностью служб в Windows Server 2008 - Служебная учетная запись службы

Written on . Posted in Windows Server 2008

ОГЛАВЛЕНИЕ

Страница 4 из 4

Служебная учетная запись службы

Для работы многих служб требуется использование служебных учетных записей. Причиной тому является предоставление службе доступа не только к тому компьютеру, на котором она запущена, но и к другим компьютерам в сети. В данных ситуациях учетные записи сетевых служб или локальной системы работать не будут.

В прошлом настройку служебных учетных записей приходилось выполнять на компьютере, на котором была запущена эта служба. Теперь, благодаря привилегиям групповой политики, вы можете контролировать то, какие служебные учетные записи используются в Active Directory с помощью групповой политики.

Параметры, которые вам нужно настроить, расположены в Конфигурации компьютера \Привилегии \Параметры панели управления \Службы, как показано на рисунке 4.


Рисунок 4: Имя служебной учетной записи можно настроить с помощью привилегий групповой политики

Чтобы настроить политику на управление вашей службой, вам нужно нажать правой клавишей на вкладке «Службы» и выбрать «Новая» ' «Служба». Здесь вы можете выбирать службу, которую хотите настроить в диалоговом окне «Службы», как показано на рисунке 5.


Рисунок 5: Диалоговое окно привилегий групповой политики службы

Нажатие на стрелочку позволит вам просмотреть службы через список служб и выбрать ту службу, которую вы хотите контролировать. После выбора службы, вы выбираете кнопку «Эта учетная запись» и ищите служебную учетную запись, которую хотите использовать в Active Directory. Когда все готово, у вас будет полноценная конфигурация служебной учетной записи для службы на каждом компьютере, который управляется объектом групповой политики, содержащим эти параметры политики.

Пароль служебной учетной записи службы

В предыдущем шаге мы настроили только служебную учетную запись, но из рисунка 5 отчетливо видно, что мы также можем настроить пароль для этой служебной учетной записи. Это очень мощная настройка, поскольку раньше вы могли это сделать только на том компьютере, на котором запущена служба, или с помощью инструментов удаленного администрирования для подключения к этому серверу.

Используя привилегии групповой политики для этой службы, вы можете убедиться в том, что служебная учетная запись, настроенная для вашей службы, имеет правильный пароль, который вы задали в базе данных Active Directory для этой учетной записи. Это также означает, что как только вы восстановите пароль для служебной учетной записи в AD, вам нужно будет лишь обновить эту политику и пароль для учетной записи, чтобы она синхронизировала пароли, как показано на рисунке 6.


Рисунок 6: Пароли служебных учетных записей можно синхронизировать с AD с помощью GPO

Это добавляет небывалый уровень защиты для служебной учетной записи в силу того, что многие служебные учетные записи имеют права повышенного уровня, и поэтому должны быть защищены должным образом.

Резюме

Используя новые функции контролирования, добавленные в Windows Server 2008 и Windows Vista, службы вашей сети теперь могут быть защищены. Безопасность служб является крайне важной, поскольку службы обеспечивают доступ к ключевым данным, хранящимся на этих серверах. Безопасности можно достичь, управляя разрешениями, режимами запуска, служебными учетными записями и паролями этих учетных записей. Используя параметры групповой политики, имеющиеся в вашем домене Windows Active Directory, вы можете защитить все эти области для любой службы, запущенной в вашем домене.

Дерек Мелбер (Derek Melber)

форум windows server