Если я запущу службу Windows на каком-либо хосте под учетной записью пользователя домена, а пароль для этой учетной записи изменится в какой-то момент, не запустится ли служба, пока я не обновлю пароль?
Если нет, то каким образом учетные данные учетной записи пользователя домена сохраняются на машине, на которой запущена служба, таким образом, что они сохраняются после смены пароля?
решение1
Да, если вы смените пароль. Тогда вам также придется обновить пароль для сервиса.
решение2
Кроме того, в Windows Server 2008 R2 (и Windows 7) появился новый (или два) типа учетных записей служб (Управляемый сервисный счет), который будет управлять паролями за вас.
решение3
Will the service now fail to start, until you update the password?
Да. Что делает второй вопрос спорным.
Обычно я отключаю срок действия пароля для «служебных» учетных записей, устанавливаю для них невероятно сложный пароль и отключаю их права входа на каждую отдельную машину и просто добавляю их на локальную машину с теми правами, которые им требуются.
решение4
Учетная запись службы, запущенная с учетными данными учетной записи домена, которая недавно изменила пароль учетной записи, столкнется с проблемой только во время перезапуска этой службы. Поскольку сервер не был обновлен с новым паролем, ваша служба не сможет аутентифицировать учетные данные учетной записи службы, пока вы не обновите свойства службы с правильным паролем.
При этом рекомендуется использовать учетную запись SERVER\NETWORK SERVICE для служб, которым требуется доступ на уровне домена. Учетная запись NETWORK SERVICE на самом деле является псевдонимом учетной записи, ссылающейся на объект каталога DOMAIN\SERVERNAME в Active Directory.
бывший. СерверA\СЕТЕВАЯ СЛУЖБА --> ДОМЕН\СерверA
Представьте, что ваш сервер, на котором запущена служба, — это ServerA, а ресурс, к которому вашей службе нужен доступ, — это ServerB. Настроив службу на использование учетной записи ServerA\NETWORK SERVICE, вы фактически запустите ее с учетной записью DOMAIN\ServerA. Это дает дополнительное преимущество в виде механизма автоматической смены пароля компьютера, который происходит (по умолчанию) каждые 30 дней, прозрачно для вас или вашей службы.
Кроме того, если вам необходимо предоставить вашей службе разрешения на взаимодействие с сервером ресурсов (ServerB) в том же лесу, вы можете просто отредактировать разрешения на доступ на ServerB, чтобы предоставить разрешения на доступ учетной записи DOMAIN\ServerA (помните, что это фактическая учетная запись для учетной записи ServerA\NETWORK SERVICE), и тогда все запросы к ресурсу на ServerB будут выполняться с использованием учетных данных учетной записи DOMAIN\ServerA.
При всем этом,Управляемые учетные записи служб в Windows 2008(спасибо, Оскар, что указали на это) похоже, это даже лучший способ удовлетворения потребностей сервисных аккаунтов!