Запуск службы Windows под учетной записью пользователя домена
Если я запустил службу Windows на каком-либо хосте под учетной записью пользователя домена, и пароль для этой учетной записи изменится в какой-то момент позже, будет ли служба теперь не запускаться, пока вы не обновите пароль?
Если нет, то как учетные данные для учетной записи пользователя домена сохраняются на машине, на которой запущена служба, таким образом, чтобы они могли пережить изменение пароля?
4 ответа
Да, если вы смените пароль. Затем вы должны обновить пароль для службы тоже.
Кроме того, в Windows Server 2008 R2 (и Windows 7) есть новый (или два) тип учетной записи службы ( Managed Service Account), которая будет управлять паролями за вас.
Will the service now fail to start, until you update the password?
Да. Что делает второй вопрос спорным.
Я обычно отключаю срок действия пароля для "служебных" учетных записей, устанавливаю для них невероятно сложный пароль и отключаю их права входа в систему для каждого отдельного компьютера и просто добавляю их на локальный компьютер с теми правами, которые им требуются.
Учетная запись службы, работающая с учетными данными учетной записи домена, которая недавно изменила пароль учетной записи, столкнется с проблемой только при перезапуске этой службы. Поскольку сервер не был обновлен с использованием нового пароля, ваша служба не сможет аутентифицировать учетные данные учетной записи службы, пока вы не обновите свойства службы с помощью правильного пароля.
При этом рекомендуется использовать учетную запись SERVER\NETWORK SERVICE для служб, требующих доступа на уровне домена. Учетная запись NETWORK SERVICE фактически является псевдонимом, связывающим объект каталогов DOMAIN\SERVERNAME в Active Directory.
ех. Сервер A \ СЕТЕВОЙ СЕРВИС -> ДОМЕН \ Сервер A
Представьте, что ваш сервер, на котором запущена служба, - это ServerA, а ресурс, к которому нужен сервис, - это ServerB. При настройке службы для использования учетная запись ServerA\NETWORK SERVICE фактически будет работать с учетной записью DOMAIN\ServerA. Это дает дополнительное преимущество механизма автоматической смены паролей компьютера, который происходит (по умолчанию) каждые 30 дней, прозрачно для вас или вашей службы.
Кроме того, если вам нужно предоставить разрешения для вашей службы для связи с сервером ресурсов (ServerB) в том же лесу, вы можете просто отредактировать разрешения доступа на ServerB, чтобы предоставить разрешения доступа для учетной записи DOMAIN\ServerA (помните, что это фактическая учетной записи ServerA\NETWORK SERVICE), а затем все запросы к ресурсу на ServerB будут выполняться с использованием учетных данных учетной записи DOMAIN\ServerA.
Несмотря на это, управляемые учетные записи служб в Windows 2008 (спасибо за то, что указали на это Оскару) выглядят как еще лучший способ обработки потребностей учетных записей служб!