ドメイン ユーザー アカウントを使用してホスト上で Windows サービスを実行し、後でこのアカウントのパスワードが変更された場合、パスワードを更新するまでサービスは起動しなくなりますか?
そうでない場合、ドメイン ユーザー アカウントの資格情報は、パスワードの変更後も保持されるように、サービスを実行しているマシン上でどのように保持されますか?
答え1
はい、パスワードを変更する場合は、サービスのパスワードも更新する必要があります。
答え2
さらに、Windows Server 2008 R2 (および Windows 7) には、新しい (または 2 つの) サービス アカウント タイプ (管理サービス アカウント) がパスワードを管理します。
答え3
Will the service now fail to start, until you update the password?
はい。そうすると2番目の質問は意味がなくなります。
私は通常、「サービス」アカウントのパスワード有効期限を無効にし、非常に複雑なパスワードを設定し、すべてのマシンへのログオン権限を無効にして、必要な権限を付与してローカル マシンに追加します。
答え4
最近アカウント パスワードを変更したドメイン アカウントの資格情報を使用して実行されているサービス アカウントでは、そのサービスの再起動時にのみ問題が発生します。サーバーが新しいパスワードで更新されていないため、正しいパスワードでサービス プロパティを更新するまで、サービスはサービス アカウントの資格情報を認証できません。
ただし、ドメイン レベルのアクセスを必要とするサービスには、SERVER\NETWORK SERVICE アカウントを使用することをお勧めします。NETWORK SERVICE アカウントは、実際には Active Directory の DOMAIN\SERVERNAME ディレクトリ オブジェクトにリンクするエイリアス アカウントです。
元。 ServerA\NETWORK SERVICE --> DOMAIN\ServerA
サービスを実行しているサーバーが ServerA で、サービスがアクセスする必要があるリソースが ServerB であるとします。ServerA\NETWORK SERVICE アカウントを使用するようにサービスを構成すると、実際には DOMAIN\ServerA アカウントで実行されます。これにより、コンピューターのパスワードを自動変更するメカニズムが (既定で) 30 日ごとに実行され、ユーザーやサービスに透過的になるという利点が追加されます。
また、同じフォレスト内のリソース サーバー (ServerB) と通信するためのアクセス許可をサービスに付与する必要がある場合は、ServerB のアクセス許可を編集して、DOMAIN\ServerA アカウント (ServerA\NETWORK SERVICE アカウントの実際のアカウントであることに注意してください) にアクセス許可を付与するだけで、ServerB 上のリソースへのすべての要求は、DOMAIN\ServerA アカウントの資格情報を使用して実行されます。
そうは言っても、Windows 2008 の管理されたサービス アカウント(Oskar さん、指摘していただきありがとうございます) サービス アカウントのニーズを処理するさらに優れた方法のように見えます。