Dossier Windows 2008 R2 : Les comptes de services

Deux nouveaux types de comptes de service voient le jour avec Windows Server 2008 R2 (et Windows 7). Il s’agit des "comptes de services gérés" (appelés aussi Managed Service Accounts ou MSA) et les comptes virtuels (virtual accounts).

Grâce à ces nouveaux types de comptes, vous allez vous affranchir de la gestion des mots de passe pour les comptes de services car ces derniers se renouvelleront automatiquement ! Il n’est ainsi plus nécessaire d’avoir à définir un compte de service avec un mot de passe qui n’expire jamais.

Les comptes de services gérés sont des nouveaux types de comptes de domaine utilisés pour lancer des services. Ils sont ainsi utilisés afin que leur mot de passe soit changé automatiquement et afin de simplifier la gestion des SPN (Service Principal Name). Pour rappel, le SPN est nécessaire à l’authentification Kerberos.

Cela permet ainsi de fournir une sécurité accrue du mot de passe du compte de domaine utilisé pour l’exécution d’applications comme SQL Server, IIS, Exchange, ou tout autre service (à condition que l’éditeur de votre application supporte l’utilisation d’un MSA).

Les comptes virtuels sont des comptes de services locaux qui ne nécessitent pas non plus de gestion de leur mot de passe. Les autorisations du compte ordinateur sont utilisées lorsque le service doit accéder à des ressources présentes sur le domaine. Nous allons nous concentrer ici plus particulièrement sur l’utilisation des comptes de services gérés car ces derniers peuvent être très utiles dans des environnements de production importants.