Executando um serviço do Windows em uma conta de usuário de domínio

8

Se eu executar um serviço do Windows em algum host em uma conta de usuário de domínio, e a senha dessa conta for alterada em algum momento posterior, o serviço falhará agora ao iniciar, até você atualizar a senha?

Caso contrário, como as credenciais da conta de usuário do domínio persistem na máquina executando o serviço de uma maneira que permita sobreviver a uma alteração de senha?

windows domain password windows-service kerberos BeeOnRope
fonte

Respostas:

6

Sim se você alterar a senha. Então você também deve atualizar a senha do serviço.

brincalhão
fonte
E se o serviço ainda estiver em execução? Ele continua até que seja parado uma vez?
22411 Koen
Sim ele continua a correr
proy
10

Além disso, no Windows Server 2008 R2 (e Windows 7), há um novo (ou dois) tipo de conta de serviço ( Conta de Serviço Gerenciado ) que gerenciará as senhas para você.

Oskar Duveborn
fonte
+1 - Excelente comentário Oskar - Contas de Serviço Gerenciado é um novo recurso do Windows 2008 R2 que é facilmente esquecido. Se você executa serviços com contas de domínio, deve examinar esse novo recurso.
Dscoduc
5

Will the service now fail to start, until you update the password?

Sim. O que torna a segunda pergunta discutível.

Normalmente desabilito a expiração de senha para contas de 'serviço', defino-as com uma senha incrivelmente complexa e desabilito seus direitos de logon em cada máquina e apenas as adiciono à máquina local com todos os direitos que eles exigem.

Mark Henderson
fonte
Por que não usar apenas a conta de serviço de rede? É para isso que ...
Dscoduc 22/01
usamos uma conta de ativação sem login para executar serviços em nossos servidores. a senha era uma espécie de rosto colidindo com o kb e estava definida para nunca expirar. Funcionou bem para nós.
aduljr
5
@Dscoduc, porque às vezes queremos desativar uma conta de serviço particular em nível empresarial
Mark Henderson
4

Uma conta de serviço em execução com as credenciais de uma conta de domínio que alterou recentemente a senha da conta terá um problema apenas durante a reinicialização desse serviço. Como o servidor não foi atualizado com a nova senha, seu serviço não poderá autenticar as credenciais da conta de serviço até que você atualize as propriedades do serviço com a senha correta.

Dito isto, é recomendável que você use a conta SERVER \ NETWORK SERVICE para serviços que exijam acesso no nível do domínio. A conta NETWORK SERVICE é na verdade uma conta de alias vinculada ao objeto de diretório DOMAIN \ SERVERNAME no Active Directory.

ex. ServerA \ SERVIÇO DE REDE -> DOMÍNIO \ ServerA

Imagine que seu servidor executando o serviço é ServerA e o recurso ao qual seu serviço precisa acessar é ServerB. Ao configurar o serviço para usar a conta ServerA \ NETWORK SERVICE, será realmente executado com a conta DOMAIN \ ServerA. Isso tem um benefício adicional do mecanismo automatizado de alteração de senha de computador que ocorre (por padrão) a cada 30 dias, transparente para você ou seu serviço.

Além disso, se você precisar conceder permissões para o seu serviço se comunicar com o servidor de recursos (ServerB) na mesma floresta, você pode simplesmente editar as permissões de acesso no ServerB para conceder permissões de acesso à conta DOMAIN \ ServerA (lembre-se de que é a senha real para a conta ServerA \ NETWORK SERVICE) e, em seguida, todas as solicitações para o recurso no ServerB serão executadas usando as credenciais da conta DOMAIN \ ServerA.

Tudo isso dito, as Contas de Serviço Gerenciado no Windows 2008 (obrigado por apontar isso para Oskar) parecem ser uma maneira ainda melhor de lidar com as necessidades da conta de serviço!

Dscoduc
fonte
Essa pode ser uma boa abordagem para ambientes menores, mas não é escalável.
Zypher
Talvez você poderia adicionar alguns pensamentos adicionais para a sua resposta ...
Dscoduc
Boa resposta. Também estou curioso, o que não escala?
blank3