Se eseguo un servizio Windows su un host con un account utente di dominio e la password per questo account cambia in un secondo momento, il servizio non verrà avviato, fino a quando non aggiorni la password?
In caso contrario, come vengono mantenute le credenziali per l'account utente di dominio sulla macchina che esegue il servizio in modo da consentire loro di sopravvivere a una modifica della password?
Risposte:
Inoltre, in Windows Server 2008 R2 (e Windows 7) è disponibile un nuovo (o due) tipo di account di servizio ( Account di servizio gestito ) che gestirà le password per te.
Will the service now fail to start, until you update the password?
Sì. Il che rende discutibile la seconda domanda.
Di solito disabilito la scadenza della password per gli account "di servizio", li imposto su una password incredibilmente complessa e disabilito i loro diritti di accesso su ogni singolo computer e li aggiungo al computer locale con tutti i diritti richiesti.
Un account di servizio in esecuzione con le credenziali di un account di dominio che ha recentemente modificato la password dell'account si imbatterà in un problema solo durante il riavvio di quel servizio. Poiché il server non è stato aggiornato con la nuova password, il servizio non sarà in grado di autenticare le credenziali dell'account del servizio fino a quando non si aggiornano le proprietà del servizio con la password corretta.
Detto questo, si consiglia di utilizzare l'account SERVER \ NETWORK SERVICE per servizi che richiedono l'accesso a livello di dominio. L'account SERVIZIO DI RETE è in realtà un account alias che si collega all'oggetto directory DOMAIN \ SERVERNAME in Active Directory.
ex. ServerA \ SERVIZIO DI RETE -> DOMINIO \ ServerA
Immagina che il tuo server che esegue il servizio sia ServerA e la risorsa a cui il tuo servizio deve accedere sia ServerB. Configurando il servizio per utilizzare l'account ServerA \ NETWORK SERVICE verrà effettivamente eseguito con l'account DOMAIN \ ServerA. Ciò ha un ulteriore vantaggio del meccanismo di modifica automatica della password del computer che si verifica (per impostazione predefinita) ogni 30 giorni, trasparente per te o il tuo servizio.
Inoltre, se è necessario concedere le autorizzazioni affinché il servizio comunichi con il server delle risorse (ServerB) nella stessa foresta, è possibile modificare semplicemente le autorizzazioni di accesso sul ServerB per concedere le autorizzazioni di accesso all'account DOMAIN \ ServerA (ricordare che è l'effettivo account per l'account ServerA \ NETWORK SERVICE) e quindi tutte le richieste alla risorsa su ServerB verranno eseguite utilizzando le credenziali dell'account DOMAIN \ ServerA.
Detto questo, gli account dei servizi gestiti in Windows 2008 (grazie per averlo sottolineato Oskar) sembrano essere un modo ancora migliore per gestire le esigenze degli account di servizio!