Virtual Accounts für Dienste unter Windows 7/8 und ab Server 2008 R2

    Mit Windows Server 2008 R2 führte Microsoft spezielle Konten im Active Directory für die Anmeldung von Windows-Diensten ein. Zu diesen Managed Service Accounts existieren weniger bekannte lokale Gegenstücke, die so genannten Virtual Accounts.

    Die wesentlichen Vorteile von Managed Service Accounts (MSAs) bestehen darin, dass sich mit ihnen das Prinzip des Least Privilege relativ einfach umsetzen lässt, weil sie unter anderem Passwörter automatisch verwalten. Das gilt auch für Virtual Accounts, die als weniger privilegierte Alternative zu den sonst genutzten Konten Lokales System, Lokaler Dienst oder Netzwerkdienst dienen.

    Kein Management-Aufwand für Virtual Accounts

    Während das Anlegen, Zuweisen und Installieren von MSAs einigen Aufwand erfordert, sind diese Schritte bei Virtual Accounts nicht erforderlich. Sie stehen in den neueren Windows-Versionen automatisch zur Verfügung, so dass sie nur einem bestimmten Dienst zugeordnet werden müssen.

    Das Management von Virtual Accounts reduziert sich auf das Zuweisen zu einem bestimmten Dienst.

    Zu diesem Zweck startet man das Snap-in der MMC für Dienste (services.msc) und öffnet dort den Dialog Eigenschaften des betreffenden Services. Anschließend wechselt man zur Registerkarte Anmelden und trägt unter Dieses Konto

    NT Service\<Name des Dienstes>

    ein. Zu beachten ist hier, dass man nicht die Beschreibung des Dienstes verwendet, sondern den Namen, der sich in der Registerkarte Allgemein gleich in der ersten Zeile findet. Die Felder für das Kennwort lässt man leer, weil dieses automatisch generiert und aktualisiert wird.

    Zuweisung von Rechten an Virtual Accounts

    Bei einem Virtual Account handelt es sich zwar um ein lokales Konto, es scheint aber nicht im Tool Lokale Benutzer und Gruppen auf. Wenn das Konto indes Zugriff auf Ressourcen des lokalen PC benötigt, dann kann man es beispielsweise in die ACL eines Ordners aufnehmen. Dabei lässt es sich über die Suchfunktion beim Hinzufügen von Dateiberechtigungen finden.

    Greift ein Service, der unter einem Virtual Account läuft, über das Netz auf Ressourcen anderer Systeme zu, dann tut er dies unter dem Computer-Konto. Mithin sind Virtual Accounts ideal für Dienste, die nur lokale Ressourcen benötigen.

    Keine Kommentare