Esta utilizando el tipo correcto de cuenta de servicio de Windows

microsoft

Las cuentas de servicio de Windows para propósitos especiales son más seguras que las cuentas de usuario de dominio genérico, pero es importante elegir la cuenta de servicio correcta para la tarea correcta

Una de las reglas fundamentales para ejecutar una aplicación dentro de un sistema operativo Windows es que la aplicación solo podrá ejecutarse si tiene permisos suficientes para hacerlo. Si una aplicación se ejecuta de manera interactiva, la aplicación normalmente heredará los permisos del usuario que la está ejecutando. Microsoft Word puede ejecutarse en Windows 10 , por ejemplo, no porque Windows reconozca a Word como una aplicación confiable (aunque también existen mecanismos para eso), sino porque el usuario que ejecuta Word tiene permisos suficientes para hacerlo.

A diferencia de las aplicaciones de escritorio como Microsoft Word, la mayoría de las aplicaciones de servidor no se ejecutan de forma interactiva. Como tal, estas aplicaciones obtienen sus permisos de las cuentas de servicio. Al principio, las cuentas de servicio eran poco más que cuentas de usuario de dominio estándar. Eventualmente, sin embargo, los hackers comenzaron a apuntar a cuentas de servicio porque esas cuentas comúnmente tenían permisos especiales asociados con ellas. Para evitar que eso suceda, Microsoft recomienda que use cuentas de servicio de Windows de propósito especial en lugar de cuentas de usuario de dominio genéricas.

Actualmente hay tres tipos principales de cuentas de servicio compatibles con Windows. Esto es lo que necesita saber sobre cada uno para asegurarse de que está utilizando el correcto.

Cuentas de servicios gestionados independientes

Las cuentas de servicios administrados independientes son esencialmente cuentas locales que se pueden usar para transmitir permisos en una aplicación. Al igual que una cuenta local típica, las cuentas de servicios administrados independientes son específicas de una computadora en particular. Como tal, una cuenta no se puede copiar a otro sistema, ni se puede utilizar para admitir una aplicación de alta disponibilidad que se ejecuta en un clúster de conmutación por error, ya que eso requeriría que la cuenta se replicara en cada nodo del clúster.

Una de las diferencias clave entre una cuenta de servicio administrado independiente y una cuenta local es que las cuentas de servicio administrado independientes están diseñadas para superar los desafíos asociados con la administración de contraseñas. Imagine por un momento que un administrador crearía una cuenta local estándar y la usaría como una cuenta de servicio para una aplicación en particular. Al hacerlo, lo más probable es que el administrador haga que la contraseña de la cuenta nunca caduque (lo que puede constituir un riesgo de seguridad). De lo contrario, es posible que la caducidad de una contraseña pase desapercibida hasta que la aplicación vinculada a la cuenta comience a funcionar incorrectamente. En ese punto, un administrador tendría que iniciar sesión en el sistema y restablecer manualmente la contraseña.

Con cuentas de servicio administradas independientes, los administradores no tienen que preocuparse por las contraseñas; para Windows restablecerá automáticamente las contraseñas de la cuenta cuando sea necesario.

Cuentas de servicios gestionados grupales

El segundo tipo de cuenta de servicio que debe tener en cuenta es la cuenta de servicio administrada de grupo. Mientras que las cuentas de servicios administrados independientes son más o menos análogas a las cuentas locales, las cuentas de servicios administrados grupales son esencialmente un tipo de cuenta de dominio. Se pueden usar en situaciones en las que una cuenta de servicio necesita dar servicio a varios servidores. Sin embargo, existen algunas advertencias sobre el uso de este tipo de cuenta de servicio.

Lo más importante que debe comprender sobre las cuentas de servicios administrados de grupo es que están destinadas principalmente a usarse con aplicaciones de carga equilibrada o dentro de una granja de servidores que está vinculada a una aplicación específica. Al contrario de lo que podría suponer, las cuentas de servicios administrados grupales no están destinadas a usarse con clústeres.

Esto no quiere decir que estas cuentas nunca se puedan usar junto con una aplicación de alta disponibilidad. Según Microsoft , una cuenta de servicio administrada grupal (o incluso una cuenta de servicio administrada independiente) se puede usar con una aplicación en clúster (pero no dentro del clúster), siempre que la aplicación sea un servicio de Windows, un grupo de aplicaciones o un programa tarea. La cuenta también se puede usar si la aplicación admite de forma nativa el uso de cuentas de servicios administrados.

Cuentas virtuales

El tercer tipo de cuenta de servicio que debe tener en cuenta es una cuenta virtual. Las cuentas virtuales son otro tipo de cuenta local, y a menudo se crean automáticamente cuando se instala una aplicación. Lo bueno de las cuentas virtuales es que Windows maneja todas las tareas de administración por usted. Ni siquiera tiene que preocuparse por la contraseña.

Las cuentas virtuales suelen estar vinculadas a un servicio específico y utilizan un nombre como SERVICIO \ . Si la aplicación asociada necesita acceder a los recursos de la red, entonces lo hace aprovechando la cuenta de la computadora de Active Directory de la máquina.

Usar una cuenta de servicio de Windows para propósitos especiales tiene más sentido que usar una cuenta de usuario de dominio genérico, pero es importante usar la cuenta de servicio de Windows correcta.

Semrush sigue a tu competencia


Fecha actualizacion el 2019-09-24. Fecha publicacion el 2019-09-24. Categoria: microsoft Autor: Oscar olg Mapa del sitio Fuente: itprotoday Version movil