Si ejecuto un servicio de Windows en algún host con una cuenta de usuario de dominio y la contraseña de esta cuenta cambia en algún momento posterior, ¿el servicio no se iniciará hasta que actualice la contraseña?
De lo contrario, ¿cómo se conservan las credenciales de la cuenta de usuario del dominio en la máquina que ejecuta el servicio de manera que les permita sobrevivir a un cambio de contraseña?
Respuesta1
Sí, si cambia la contraseña. Luego también debes actualizar la contraseña del servicio.
Respuesta2
Además, en Windows Server 2008 R2 (y Windows 7) hay uno nuevo (o dos) tipo de cuenta de servicio (Cuenta de servicio administrada) que administrará las contraseñas por usted.
Respuesta3
Will the service now fail to start, until you update the password?
Sí. Lo que hace que la segunda pregunta sea discutible.
Por lo general, desactivo la caducidad de contraseñas para las cuentas de "servicio", les configuro una contraseña increíblemente compleja, desactivo sus derechos de inicio de sesión en cada máquina y simplemente las agrego a la máquina local con los derechos que requieran.
Respuesta4
Una cuenta de servicio que se ejecuta con las credenciales de una cuenta de dominio que ha cambiado recientemente la contraseña de la cuenta tendrá un problema solo durante el reinicio de ese servicio. Dado que el servidor no se actualizó con la nueva contraseña, su servicio no podrá autenticar las credenciales de la cuenta de servicio hasta que actualice las propiedades del servicio con la contraseña correcta.
Dicho esto, se recomienda utilizar la cuenta SERVIDOR\NETWORK SERVICE para servicios que requieren acceso a nivel de dominio. La cuenta NETWORK SERVICE es en realidad una cuenta alias que se vincula al objeto de directorio DOMINIO\SERVIDOR en Active Directory.
ex. ServidorA\SERVICIO DE RED --> DOMINIO\ServidorA
Imagine que su servidor que ejecuta el servicio es el ServidorA y el recurso al que su servicio necesita acceder es el ServidorB. Al configurar el servicio para usar la cuenta ServerA\NETWORK SERVICE, en realidad se ejecutará con la cuenta DOMAIN\ServerA. Esto tiene el beneficio adicional del mecanismo automatizado de cambio de contraseña de la computadora que se realiza (de forma predeterminada) cada 30 días, de forma transparente para usted o su servicio.
Además, si necesita otorgar permisos para que su servicio se comunique con el servidor de recursos (ServidorB) en el mismo bosque, simplemente puede editar los permisos de acceso en el ServidorB para otorgar permisos de acceso a la cuenta DOMINIO\ServidorA (recuerde que es la cuenta real cuenta para la cuenta ServidorA\SERVICIO DE RED) y luego todas las solicitudes al recurso en el ServidorB se realizarán utilizando las credenciales de la cuenta DOMINIO\ServidorA.
Dicho todo esto, elCuentas de servicio administradas en Windows 2008(Gracias por señalarlo, Oskar) parece ser una manera aún mejor de manejar las necesidades de la cuenta de servicio.