Os serviços do Windows continuam em execução quando a conta do Active Directory é desativada?

Os serviços do Windows continuam em execução quando a conta do Active Directory é desativada?

Houve um incidente esta semana em que uma de nossas instâncias do SQL Server ficou inesperadamente offline. Descobri que os serviços do Windows que executam a instância pararam e não foi possível iniciá-los novamente devido à desativação das contas usadas pelos serviços. Supostamente, essas contas foram desativadas há cerca de três semanas.

O servidor Windows que abriga esses serviços foi reiniciado no início da manhã e foi descoberto que estava inativo. Eu acessei essa instância pela última vez apenas algumas horas antes da reinicialização sem problemas. Isso me leva a acreditar que não há reautenticação para credenciais em um serviço em execução constante. Isso é verdade? E se não, quais são as políticas ou padrões que controlam esse comportamento?

Tudo o que consegui encontrar pesquisando on-line até agora é sobre autenticação local de uma conta desativada que ocorre quando um dispositivo não está na rede do domínio. Simplesmente não consigo encontrar nada falando sobre contas AD desativadas usadas em serviços diferentes das etapas padrão de solução de problemas para quando um serviço não inicia.

Responder1

Depende do seu serviço.

A conta usada para iniciar o serviço receberá um tíquete Kerberos do controlador de domínio na inicialização do serviço. O que o serviço fará depois com esse ticket afetará quando ocorrerá o erro na conta.

Para uma instância SQL, o problema é quando a instância SQL está ativa e o método de autenticação é feito por SQL, você poderá ver o problema somente mais tarde, como no seu caso. O problema é que se o serviço não precisar interagir com outros recursos de rede, ele fará suas próprias coisas localmente sem nenhum problema, até que você reinicie ou tente reiniciar o serviço. (ou se o seu SQL faz autenticação do Windows)

Um exemplo de outro produto; como o serviço Microsoft Exchange Topologie Active Directory, esse serviço cutuca o controlador de domínio. é um trabalho. Então, sim, nesse caso, fechar a conta do serviço executado terá um impacto imediato.

É uma prática recomendada usar uma conta de serviço, mas documentá-las é muito importante. A desativação de uma dessas contas não deve ser feita se o serviço ainda estiver em execução.

informação relacionada