Se eu executar um serviço do Windows em algum host em uma conta de usuário de domínio e a senha dessa conta for alterada posteriormente, o serviço não será iniciado até que você atualize a senha?
Caso contrário, como as credenciais da conta do usuário do domínio são mantidas na máquina que executa o serviço de uma forma que lhes permita sobreviver a uma alteração de senha?
Responder1
Sim, se você alterar a senha. Então você também deve atualizar a senha do serviço.
Responder2
Além disso, no Windows Server 2008 R2 (e no Windows 7) há um novo (ou dois) tipo de conta de serviço (Conta de serviço gerenciado) que gerenciará as senhas para você.
Responder3
Will the service now fail to start, until you update the password?
Sim. O que torna a segunda questão discutível.
Eu normalmente desabilito a expiração de senha para contas de 'serviço', defino-as com uma senha incrivelmente complexa e desabilito seus direitos de logon para cada máquina e apenas adiciono-as à máquina local com os direitos necessários.
Responder4
Uma conta de serviço executada com as credenciais de uma conta de domínio que alterou recentemente a senha da conta terá problemas apenas durante a reinicialização desse serviço. Como o servidor não foi atualizado com a nova senha, seu serviço não poderá autenticar as credenciais da conta de serviço até que você atualize as propriedades do serviço com a senha correta.
Dito isto, é recomendado que você use a conta SERVER\NETWORK SERVICE para serviços que requerem acesso em nível de domínio. A conta NETWORK SERVICE é na verdade uma conta de alias vinculada ao objeto de diretório DOMAIN\SERVERNAME no Active Directory.
ex. ServidorA\SERVIÇO DE REDE --> DOMÍNIO\ServidorA
Imagine que seu servidor executando o serviço seja o ServidorA e o recurso ao qual seu serviço precisa de acesso seja o ServidorB. Ao configurar o serviço para usar a conta ServerA\NETWORK SERVICE estará realmente rodando com a conta DOMAIN\ServerA. Isso tem o benefício adicional do mecanismo automatizado de alteração de senha do computador que ocorre (por padrão) a cada 30 dias, de forma transparente para você ou seu serviço.
Além disso, se você precisar conceder permissões para o seu serviço se comunicar com o servidor de recursos (ServidorB) na mesma floresta, você pode simplesmente editar as permissões de acesso no ServidorB para conceder permissões de acesso à conta DOMÍNIO\ServidorA (lembre-se de que é a conta real conta para a conta ServerA\NETWORK SERVICE) e todas as solicitações ao recurso no ServerB serão executadas usando as credenciais da conta DOMAIN\ServerA.
Tudo o que foi dito, oContas de serviço gerenciadas no Windows 2008(obrigado por apontar isso, Oskar) parece ser uma maneira ainda melhor de lidar com as necessidades da conta de serviço!