Wenn ich einen Windows-Dienst auf einem Host unter einem Domänenbenutzerkonto ausführe und sich das Kennwort für dieses Konto zu einem späteren Zeitpunkt ändert, kann der Dienst jetzt nicht gestartet werden, bis Sie das Kennwort aktualisieren?
Wenn nicht, wie bleiben die Anmeldeinformationen für das Domänenbenutzerkonto auf dem Computer, auf dem der Dienst ausgeführt wird, so erhalten, dass sie eine Kennwortänderung überleben können?
Antworten:
Darüber hinaus gibt es in Windows Server 2008 R2 (und Windows 7) einen neuen (oder zwei) Dienstkontotyp ( Managed Service Account ), mit dem die Kennwörter für Sie verwaltet werden.
Will the service now fail to start, until you update the password?
Ja. Was die 2. Frage zur Diskussion stellt.
Normalerweise deaktiviere ich den Kennwortablauf für "Dienst" -Konten, setze sie auf ein unglaublich komplexes Kennwort und deaktiviere ihre Anmelderechte für jeden einzelnen Computer und füge sie einfach mit den erforderlichen Rechten zum lokalen Computer hinzu.
Ein Dienstkonto, das mit den Anmeldeinformationen eines Domänenkontos ausgeführt wird, das kürzlich das Kontokennwort geändert hat, tritt nur während eines Neustarts dieses Dienstes auf. Da der Server nicht mit dem neuen Kennwort aktualisiert wurde, kann Ihr Dienst die Anmeldeinformationen des Dienstkontos erst authentifizieren, wenn Sie die Diensteigenschaften mit dem richtigen Kennwort aktualisieren.
Es wird jedoch empfohlen, das Konto SERVER \ NETWORK SERVICE für Dienste zu verwenden, für die Zugriff auf Domänenebene erforderlich ist. Das NETWORK SERVICE-Konto ist eigentlich ein Alias-Konto, das mit dem Verzeichnisobjekt DOMAIN \ SERVERNAME in Active Directory verknüpft ist.
Ex. ServerA \ NETWORK SERVICE -> DOMAIN \ ServerA
Stellen Sie sich vor, Ihr Server, auf dem der Dienst ausgeführt wird, ist ServerA, und die Ressource, auf die Ihr Dienst Zugriff benötigt, ist ServerB. Wenn Sie den Dienst für die Verwendung des Kontos ServerA \ NETWORK SERVICE konfigurieren, wird er tatsächlich mit dem Konto DOMAIN \ ServerA ausgeführt. Dies hat den zusätzlichen Vorteil des automatisierten Mechanismus zur Änderung des Computerkennworts, der (standardmäßig) alle 30 Tage stattfindet und für Sie oder Ihren Dienst transparent ist.
Wenn Sie Berechtigungen für die Kommunikation Ihres Dienstes mit dem Ressourcenserver (ServerB) in derselben Gesamtstruktur erteilen müssen, können Sie einfach die Zugriffsberechtigungen auf dem ServerB bearbeiten, um Zugriffsberechtigungen für das Konto DOMAIN \ ServerA zu erteilen (denken Sie daran, dass dies die tatsächliche Berechtigung ist Konto für das Konto ServerA \ NETWORK SERVICE) und dann werden alle Anforderungen an die Ressource auf ServerB unter Verwendung der Anmeldeinformationen des Kontos DOMAIN \ ServerA ausgeführt.
Abgesehen davon scheinen die verwalteten Dienstkonten in Windows 2008 (danke für den Hinweis auf Oskar) eine noch bessere Möglichkeit zu sein, die Anforderungen von Dienstkonten zu erfüllen!