다음을 통해 공유


서비스 로그온 계정 정보

Win32 기반 서비스가 시작되면 로컬 컴퓨터에 로그온됩니다. 다음으로 로그온할 수 있습니다.

  • 로컬 또는 도메인 사용자 계정입니다.
  • LocalSystem 계정입니다.

로그온 계정은 런타임에 서비스의 보안 ID, 즉 서비스의 기본 보안 컨텍스트를 결정합니다. 보안 컨텍스트는 로컬 및 네트워크 리소스에 액세스하는 서비스의 기능을 결정합니다. 예를 들어 로컬 사용자 계정의 보안 컨텍스트에서 실행되는 서비스는 네트워크 리소스에 액세스할 수 없습니다. 반대로 Windows 2000 DC(도메인 컨트롤러)에서 LocalSystem 계정의 보안 컨텍스트에서 실행되는 서비스는 DC에 무제한으로 액세스할 수 있습니다. 자세한 내용과 사용자 계정과 LocalSystem 간의 이점 및 제한 사항에 대한 설명은 보안 컨텍스트 및 Active Directory Domain Services 참조하세요.

궁극적으로 서비스가 설치된 시스템의 관리자는 서비스의 로그온 계정을 제어할 수 있습니다. 보안상의 이유로 일부 관리자는 LocalSystem 계정으로 서비스를 설치하도록 허용하지 않을 수 있습니다. 도메인 사용자 계정으로 서비스를 실행할 수 있어야 합니다. 프로그래머로서 서비스의 로그온 계정을 제어할 수 있습니다. 서비스 설치 관리자는 CreateService 함수를 호출하여 호스트 컴퓨터에 서비스를 설치할 때 서비스의 로그온 계정을 지정합니다. 설치 관리자가 기본 로그온 계정을 제안할 수 있지만 관리자가 실제 계정을 지정할 수 있도록 허용해야 합니다.

설치 관리자는 서비스의 로그온 계정과 관련된 다음 작업을 수행할 수도 있습니다.

  • 설치. 사용자 계정으로 실행되도록 서비스를 설치하는 경우 CreateService를 호출하기 전에 계정이 있어야 합니다. 기존 계정을 사용하거나 호스트 컴퓨터 설치 관리자의 일부로 계정을 만들 수 있습니다. 자세한 내용은 서비스의 사용자 계정 설정을 참조하세요.
  • 인증 클라이언트가 Kerberos 상호 인증을 사용하도록 하려면 서비스의 로그온 계정에 SPN을 등록합니다. 서비스가 LocalSystem 계정으로 실행되는 경우 서비스의 로그온 계정은 호스트 컴퓨터의 컴퓨터 계정입니다. 자세한 내용은 서비스 주체 이름을 참조하세요.
  • 액세스 권한을 부여합니다. 런타임에 서비스에 해당 작업을 수행하는 데 필요한 액세스 권한 및 권한이 있는지 확인합니다. 이를 위해서는 사용자 또는 컴퓨터 계정에 필요한 액세스 권한을 허용하려면 디렉터리 개체, 파일 공유 등 다양한 리소스의 보안 설명자에서 ACE(액세스 제어 항목)를 설정해야 할 수 있습니다. 자세한 내용은 서비스 로그온 계정에 대한 액세스 권한 부여를 참조하세요.
  • 권한을 설정합니다. 호스트 컴퓨터에 서비스로 로그온할 수 있는 권한과 같이 지정된 로그온 계정에 권한을 할당합니다. 자세한 내용은 호스트 컴퓨터에서 서비스 권한으로 로그온 권한 부여를 참조하세요.

서비스가 설치되면 서비스 로그온 계정과 관련된 유지 관리 작업이 있습니다. 자세한 내용은 로그온 계정 유지 관리 작업을 참조하세요.

  • 암호 유지 관리. 사용자 계정으로 실행되는 서비스의 경우 주기적으로 암호를 변경하고 하나 이상의 로컬 서비스 제어 관리자가 서비스를 시작하는 데 사용하는 암호와 동기화된 암호를 유지해야 합니다.
  • SPN 유지 관리. 서비스 로그온 계정이 변경되면 이전 계정에 등록된 SPN을 제거하고 새 계정에 등록합니다. 서비스가 설치되면 도메인 관리자가 서비스가 실행되는 계정을 변경할 수 있습니다. Win32 함수 또는 컴퓨터 관리 관리 도구의 사용자 인터페이스를 사용합니다.
  • ACE 유지 관리. 서비스 로그온 계정이 변경되면 서비스가 필요한 리소스에 계속 액세스할 수 있도록 ACE 및 그룹 멤버 자격을 업데이트해야 합니다.