Executando um serviço do Windows em uma conta de usuário de domínio

8

Se eu executar um serviço do Windows em algum host em uma conta de usuário de domínio e a senha dessa conta for alterada em algum momento posterior, o serviço não será iniciado, até que você atualize a senha?

Se não, como as credenciais da conta de usuário do domínio persistiram na máquina que está executando o serviço, de forma que elas possam sobreviver a uma mudança de senha?

    
por BeeOnRope 21.01.2010 / 22:20

4 respostas

6

Sim, se você alterar a senha. Então você tem que atualizar a senha para o serviço também.

    
por 21.01.2010 / 22:25
8

Além disso, no Windows Server 2008 R2 (e no Windows 7), há um novo (ou dois) tipo de conta de serviço ( Conta de Serviço Gerenciado ) que gerenciará as senhas para você.

    
por 21.01.2010 / 22:32
4

Will the service now fail to start, until you update the password?

Sim. O que torna a segunda questão discutível.

Eu normalmente desabilitar a expiração de senha para contas de 'serviço', configurá-las para uma senha incrivelmente complexa e desativar seus direitos de logon para cada máquina e apenas adicioná-las à máquina local com os direitos necessários.

    
por 21.01.2010 / 22:24
4

Uma conta de serviço em execução com as credenciais de uma conta de domínio que alterou recentemente a senha da conta só terá um problema durante a reinicialização desse serviço. Como o servidor não foi atualizado com a nova senha, seu serviço não poderá autenticar as credenciais da conta de serviço até que você atualize as propriedades do serviço com a senha correta.

Dito isto, é recomendado que você use a conta SERVER \ NETWORK SERVICE para serviços que exijam acesso em nível de domínio. A conta NETWORK SERVICE é, na verdade, uma conta de alias vinculada ao objeto de diretório DOMAIN \ SERVERNAME no Active Directory.

ex. SERVIDOR DE REDE SERVIDORA \ - > DOMAIN \ ServerA

Imagine que seu servidor executando o serviço seja ServerA e o recurso ao qual seu serviço precisa de acesso seja o ServerB. Ao configurar o serviço para usar a conta ServerA \ NETWORK SERVICE, será executado com a conta DOMAIN \ ServerA. Isso tem um benefício adicional do mecanismo automatizado de alteração de senha do computador que ocorre (por padrão) a cada 30 dias, transparente para você ou seu serviço.

Além disso, se você precisar conceder permissões para o seu serviço se comunicar com o servidor de recursos (ServerB) na mesma floresta, basta editar as permissões de acesso no ServerB para conceder permissões de acesso à conta DOMAIN \ ServerA (lembre-se é a conta real da conta ServerA \ NETWORK SERVICE) e, em seguida, todas as solicitações para o recurso no ServerB serão executadas usando as credenciais da conta DOMAIN \ ServerA.

Tudo o que foi dito, as Contas de serviço gerenciadas no Windows 2008 (obrigado por apontar o Oskar) parece ser uma maneira ainda melhor de lidar com as necessidades da conta de serviço!

    
por 22.01.2010 / 02:07