Service Account در ویندوز سرور
Service Account در ویندوز سرور، همانطور که می دانیم ویندوز سرور از سرویس های حیاتی متفاوتی تشکیل شده است تا عملکرد مورد انتظار را در سطح شبکه برآورده نماید. Service Account نیز یکی از معیار هایی است سرویس ها مبتنی بر آن ها اجرا می گردند.
Service Account در ویندوز سرور
فهرست مطالب
Service Account چیست
سرویس ها در ویندوز سرور تحت حساب کاربری یا همان Service Account اجرا می گردند. چنانچه Services را در ویندوز سرور اجرا کنیم، در پنجره Services کلیه سرویس هایی که در ویندوز در حال اجرا هستند قابل مشاهده خواهد بود. سرویس هایی از قبل DNS Server، DNS Client، Group policy Client و غیره در حال اجرا می باشند. در ستون Log on As حساب های سرویس یا Service Account هایی که آن سرویس مورد نظر تحت آن ها اجرا می گردد مشخص شده است. در ویندوز سرور به صورت پیش فرض سه نوع Service Account مورد استفاده قرار می گیرد.
انواع Service Account در ویندوز سرور
در ویندوز سرور سه نوع Service Account مورد استفاده قرار می گیرد:
- Local System
- Local Service
- Network Service
برای مثال در لیست سرویس ها DNS Client تحت Network Service اجرا می گردد و همانطور که مشخص است DNS Client نیاز به privilege و سطح دسترسی بیش از Network Service نخواهد داشت. در عین حال DNS Server تحت حساب Local System لاگین و اجرا می شود. چرا که سرویس DNS Server به دسترسی و privilege بالاتری نسبت به DNS Client نیاز دارد. باید در نظر داشت که Local System بالاترین Privilege و سطح دسترسی را دارا می باشد.
سطح دیگری از Privilege برای حساب Local Service در نظر گرفته می گردد. به عنوان مثال سرویس Link Layer Topology Discovery Mapper تحت حساب Local Service اجرا می گردد. حساب Local Service از سطح دسترسی و Privilege پایین تری نسبت به Local System برخوردار می باشد. چنانچه قصد داشته باشیم به سیستم های دیگری در شبکه دسترسی داشته باشیم، این کار را به عنوان Anonymous User در آن سیستم می تواند انجام می دهد. با توجه به موارد گفته شده، حساب Local Service دسترسی بسیار محدود تری نسبت به Local System خواهد داشت.
برای سرویس هایی که به صورت روزمره و روال همیشگی نیاز به دسترسی به سیستم های دیگر دارند مانند سرویس IPsec Policy Agent از حساب Network Service جهت اجرای آن ها استفاده می گردد. حساب Network Service نیز نسبت به System Local دسترسی و Privilege بسیار پایین تری دارد.
همواره پیشنهاد می گردد Service Account ها همواره در حالت پیش فرض مورد استفاده قرار گیرند چرا که مایکروسافت سرویس ها و Service Account های مربوط به آن ها به روشی کاملا اصولی پیاده سازی نموده است. با ایجاد تغییرات بر روی Service Account ها به احتمال زیاد با خطا های زیادی رو برو خواهید شد.
تنظیمات Service Account
چنانچه در برخی سناریو ها و سرویس ها نیاز به تغییر Service Account ها داشته باشید، به این منظور می توان با دوبار کلیک بر روی سرویس مورد نظر در پنجره باز شده بر روی تب Log on می توان تغییرات را اعمال نمود.
برای مثال در تصویر فوق تنظیمات مربوط به سرویس Function Discovery Provider Host را مشاهده می نماییم. در تنظیمات این سرویس مشاهده می کنیم که یک رمز عبور برای Local Service در نظر گرفته شده که ما به عنوان کاربر از آن بی اطلاع خواهیم بود و مایکروسافت به صورت اتوماتیک و با الگوریتم های خاص خود این رمز عبور ها را مدیریت می نماید.
در برخی سناریو ها ممکن است برنامه هایی بر روی ویندوز سرور نصب کنیم که سرویس های مربوط به این برنامه به Privilege بالا نیاز داشته باشد. در چنین شرایطی برنامه مورد نظر ممکن است به صورت خودکار یک Service Account برای سرویس های خود ایجاد نماید و حتی ممکن است این برنامه ها از ما به عنوان ادمین برای ایجاد Service Account و پارامتر های مورد نیاز آن درخواست نماید.
ایجاد یک Service Account سفارشی به سادگی قابل انجام می باشد تا در چنین سناریو هایی مورد استفاده قرار گیرد.
ایجاد یک Service Account
جهت ایجاد یک Service Account کافی است از کنسول Server manager گزینه Tools و از زیر منوی آن Active Directory Users and Computers را اجرا نماییم. جهت دسترسی آسان به Active Directory Users and Computers می توان از دستور dsa.msc در RUN استفاده نمود. سپس یک حساب کاربری ایجاد می نماییم.
باید در نظر داشت در ایجاد رمز عبور برای چنین کاربردی باید راه حل های امنیتی ، پیچیدگی رمز عبور و سایر موارد امنیتی به صورت جدی در نظر گرفته شود. اکنون باید دسترسی ها و Right های مورد نظر به این کاربر اعمال گردد. قاعدتا در برنامه هایی که قصد نصب آن ها را داریم و نیاز به Service Account دارد سطح دسترسی مورد نیاز این برنامه ها توسط شرکت ارائه دهنده مشخص گردیده است. پس از ایجاد کاربر می توان به پنجره Services مراجعه و با Refresh نمودن سرویس مورد نظر را انتخاب نموده و در تب Log on گزینه This account را فعال و بر روی Browse کلیک می کنیم و در پنجره باز شده کاربر ساخته شده را انتخاب می نماییم.
در نهایت با کلیک بر روی OK این کاربر به سرویس مورد نظر Grant خواهد گردید. اکنون در پنجره Services در سرویس مورد نظر حساب کاربری ایجاد شده قابل مشاهده می باشد.
نظرات کاربران