Options pour le choix du Compte de Service

Un compte de service est une identité d'utilisateur Windows associée à une application de service Windows dans le but de fournir un contexte de sécurité pour ce service.

Windows 7 et Windows Server 2008 R2 disposent de deux nouveaux types de comptes de service appelés des comptes de service administrés (MSA) et des comptes virtuels. Ils ont été conçus pour des applications cruciales telles que SQL Server avec l'isolation de leurs propres comptes. Ils sont aussi un moyen d’alléger la charge administrative liée à la gestion à long terme des mots de passe des comptes de service. Mais ces nouveaux types de comptes de service sont encore si nouveaux que leur utilisation n’est pas prise en charge universellement, en particulier par les applications basées sur la technologie DCOM telles que le logiciel PcVue.

Les comptes de service administrés et les comptes virtuels ne sont pas supportés par PcVue (Sv32.exe) fonctionnant en tant que service. Nous ne ferons donc pas référence à l'utilisation des comptes de service administrés et des comptes virtuels dans la suite de cette section.

Lorsque vous envisagez quel compte utiliser pour un service, il y a deux choix principaux.

  • Un compte de service intégré
  • Un compte d’utilisateur local ou de domaine

Lors du choix d'un compte de service Windows pour exécuter PcVue (ou tout autre service), le principal critère est d'utiliser un compte doté du moindre privilège requis. Cela permet d'assurer que le service est exécuté de façon aussi sécurisée que possible.

Selon Microsoft, les administrateurs Windows doivent choisir des comptes de service basés sur la hiérarchie suivante. Cette hiérarchie est ordonnée en partant des comptes de service dotés de privilèges moins élevés pour aller vers ceux disposant de privilèges plus élevés :

  1. Service local
  2. Service réseau
  3. Compte d’utilisateur local ou de domaine
  4. Système local
  5. Compte d’administrateur local
  6. Compte d’administrateur du domaine

Les options 5 et 6 représentent "le pire des scénarios" dans lequel un service ou une application donnée ne pourra tout simplement pas fonctionner avec un compte de service disposant de moindres privilèges et autorisations. L’option 4, basée sur le compte système local, ne peut pas être utilisée pour exécuter PcVue. Pour ces raisons, seules les options 1 à 3 doivent être prises en considération.

Il est toujours préférable, du point de vue de la sécurité, d’utiliser votre propre compte de service ayant précisément les autorisations dont vous avez besoin et aucune autre pour faire fonctionner le service. Cette approche a cependant un coût : la mise en place de ce compte de service spécifique ainsi que la gestion à long terme de son mot de passe. C'est un acte équilibré que chaque application doit gérer.

Utilisation d'un compte de service local

Service local est un compte de service limité semblable au compte de service réseau et destiné à exécuter les services standards nécessitant des privilèges minimaux. Toutefois, contrairement au compte de service réseau, il n'a pas la capacité d'accéder à des ressources réseau nécessitant une authentification Windows. Il peut néanmoins accéder aux ressources réseau ne nécessitant pas une authentification Windows, tel qu’un automate accédé par le biais d’une communication TCP/IP. Par conséquent, si PcVue n'accède à aucune ressource réseau par l’intermédiaire des autorisations accordées au compte de l'ordinateur, vous devez sérieusement envisager d'utiliser le compte de service local.

Utilisation d'un compte de service réseau

Si PcVue nécessite un accès à des ressources réseau en utilisant les informations d’identification du compte d’ordinateur, vous pourriez avoir besoin d'utiliser le compte de service réseau ou un compte d'utilisateur local disposant de privilèges minimaux.

Utilisation d'un compte d’utilisateur local ou de domaine

Si PcVue doit interagir avec des services réseau, des ressources de domaine telles que des partages de fichiers, ou s'il utilise des connexions de serveur liées à d'autres ordinateurs qui exécutent SQL Server par exemple, vous pouvez utiliser un compte de domaine doté de privilèges minimaux. De nombreuses activités de serveur à serveur ne peuvent être exécutées qu'avec un compte d'utilisateur de domaine. Ce compte doit être créé au préalable via l'administration de domaine dans votre environnement.

Se référer à Utiliser un compte de service intégré et Utiliser un compte utilisateur comme compte de service pour plus d'informations au sujet du choix d'un compte de service pour faire fonctionner PcVue en tant que Service.