如果我在域用户帐户下的某个主机上运行Windows服务,并且此帐户的密码稍后发生更改,那么服务现在无法启动,直到您更新密码为止?
如果不是,那么运行该服务的机器上的域用户帐户的凭证如何保持,以使其能够在密码更改后继续存在?
是的,如果你改变密码。 那么你也必须更新服务的密码。
另外,在Windows Server 2008 R2(和Windows 7)中还有一个新的(或两个)服务帐户types( 托pipe服务帐户 ),它将为您pipe理密码。
Will the service now fail to start, until you update the password?
是。 这使得第二个问题没有意义。
我通常禁用“服务”帐户密码过期,将其设置为一个令人难以置信的复杂的密码,并禁用他们的login权限,每一台机器,只要将它们添加到本地机器与他们所需的任何权利。
使用最近更改了帐户密码的域帐户凭据运行的服务帐户仅在重新启动该服务期间才会遇到问题。 由于服务器尚未使用新密码进行更新,因此在使用正确的密码更新服务属性之前,服务将无法validation服务帐户凭据。
也就是说,build议您使用SERVER \ NETWORK SERVICE帐户来获取需要域级别访问权限的服务。 NETWORK SERVICE帐户实际上是一个链接到Active Directory中的DOMAIN \ SERVERNAME目录对象的别名帐户。
恩。 ServerA \ NETWORK SERVICE – > DOMAIN \ ServerA
想象一下,运行服务的服务器是ServerA,服务需要访问的资源是ServerB。 通过configuration服务使用ServerA \ NETWORK SERVICE帐户实际上将与DOMAIN \ ServerA帐户一起运行。 这对于每30天发生一次(默认情况下)的自动化计算机密码更改机制具有额外的好处,对您或您的服务透明。
另外,如果您需要授予服务权限以便与相同林中的资源服务器(ServerB)通信,则可以简单地编辑ServerB上的访问权限,以授予对DOMAIN \ ServerA帐户的访问权限(请记住它是实际帐户为ServerA \ NETWORK服务帐户),然后对ServerB上资源的所有请求将使用DOMAIN \ ServerA帐户的凭据执行。
所有这一切, 在Windows 2008托pipe服务帐户 (感谢指出奥斯卡)看起来是一个更好的方式来处理服务帐户的需求!