バックグラウンド サービスとの認証資格情報共有のセキュリティへの影響の可能性

認証資格情報をバックグラウンド サービスと共有すると、他のすべての管理者が Security Controls サービス コンポーネントでその認証資格情報を使用できるようになります。たとえば、管理者 A が認証資格情報を作成し、バックグラウンド サービスとの共有でその認証資格情報を有効にしてから、それをプロキシ サービスに割り当てるとします。 管理者 B は自由に同じ認証資格情報をプログラムの他のサービス領域に割り当てることができます。

このため、次の点に注意してください。

  • Security Controls サービス コンポーネントで必要な認証資格情報でのみバックグラウンド サービスとの共有を有効にしてください。
  • 社内の保護された領域へのアクセス権を付与する認証資格情報では、バックグラウンド サービスとの共有を許可しないでください

ドメイン管理者アカウントを使用するのではなく、サービス アカウントを作成し、これらのサービス機能を実行することをお勧めします。

Security Controls では、明示的に特定された認証資格情報に加え、バックグラウンド サービスと各種リソースとの対話用に Kerberos 認証がサポートされています。 サービス アカウントを作成することが望ましくない場合や、作成することが不可能なシナリオにおいては、Domain\Machine$ アカウントへの権限の付与を用いて、ネットワーク共有や配布サーバへのアクセスを提供できます。

さらに、共有のサービス認証資格情報は、いつでも更新できます。 これにより、パスワードの更新メンテナンスが容易になります。