Ausführen eines Windows-Dienstes unter einem Domänenbenutzerkonto

8

Wenn ich einen Windows-Dienst auf einem Host unter einem Domänenbenutzerkonto ausführe und sich das Kennwort für dieses Konto zu einem späteren Zeitpunkt ändert, kann der Dienst jetzt nicht gestartet werden, bis Sie das Kennwort aktualisieren?

Wenn nicht, wie bleiben die Anmeldeinformationen für das Domänenbenutzerkonto auf dem Computer, auf dem der Dienst ausgeführt wird, so erhalten, dass sie eine Kennwortänderung überleben können?

BeeOnRope
quelle

Antworten:

6

Ja, wenn Sie das Passwort ändern. Dann müssen Sie auch das Passwort für den Dienst aktualisieren.

proy
quelle
Was ist, wenn der Dienst noch ausgeführt wird? Geht es weiter, bis es einmal gestoppt wird?
Koen
Ja, es läuft weiter
proy
10

Darüber hinaus gibt es in Windows Server 2008 R2 (und Windows 7) einen neuen (oder zwei) Dienstkontotyp ( Managed Service Account ), mit dem die Kennwörter für Sie verwaltet werden.

Oskar Duveborn
quelle
+1 - Hervorragender Kommentar Oskar - Managed Service Accounts ist eine neue Funktion in Windows 2008 R2, die leicht übersehen wird. Wenn Sie Dienste mit Domänenkonten ausführen, sollten Sie sich mit dieser neuen Funktion befassen.
Dscoduc
5

Will the service now fail to start, until you update the password?

Ja. Was die 2. Frage zur Diskussion stellt.

Normalerweise deaktiviere ich den Kennwortablauf für "Dienst" -Konten, setze sie auf ein unglaublich komplexes Kennwort und deaktiviere ihre Anmelderechte für jeden einzelnen Computer und füge sie einfach mit den erforderlichen Rechten zum lokalen Computer hinzu.

Mark Henderson
quelle
Warum nicht einfach das Netzwerkdienstkonto verwenden?
Dafür ist
Wir haben ein Konto ohne Aktivierungsfreigabe verwendet, um Dienste auf unseren Servern auszuführen. Passwort war eine Art Gesicht, das in KB zerschmettert wurde und so eingestellt war, dass es niemals abläuft. Für uns hat es gut geklappt.
Adultjr
5
@Dscoduc, weil wir manchmal ein bestimmtes Dienstkonto auf Unternehmensebene deaktivieren möchten
Mark Henderson
4

Ein Dienstkonto, das mit den Anmeldeinformationen eines Domänenkontos ausgeführt wird, das kürzlich das Kontokennwort geändert hat, tritt nur während eines Neustarts dieses Dienstes auf. Da der Server nicht mit dem neuen Kennwort aktualisiert wurde, kann Ihr Dienst die Anmeldeinformationen des Dienstkontos erst authentifizieren, wenn Sie die Diensteigenschaften mit dem richtigen Kennwort aktualisieren.

Es wird jedoch empfohlen, das Konto SERVER \ NETWORK SERVICE für Dienste zu verwenden, für die Zugriff auf Domänenebene erforderlich ist. Das NETWORK SERVICE-Konto ist eigentlich ein Alias-Konto, das mit dem Verzeichnisobjekt DOMAIN \ SERVERNAME in Active Directory verknüpft ist.

Ex. ServerA \ NETWORK SERVICE -> DOMAIN \ ServerA

Stellen Sie sich vor, Ihr Server, auf dem der Dienst ausgeführt wird, ist ServerA, und die Ressource, auf die Ihr Dienst Zugriff benötigt, ist ServerB. Wenn Sie den Dienst für die Verwendung des Kontos ServerA \ NETWORK SERVICE konfigurieren, wird er tatsächlich mit dem Konto DOMAIN \ ServerA ausgeführt. Dies hat den zusätzlichen Vorteil des automatisierten Mechanismus zur Änderung des Computerkennworts, der (standardmäßig) alle 30 Tage stattfindet und für Sie oder Ihren Dienst transparent ist.

Wenn Sie Berechtigungen für die Kommunikation Ihres Dienstes mit dem Ressourcenserver (ServerB) in derselben Gesamtstruktur erteilen müssen, können Sie einfach die Zugriffsberechtigungen auf dem ServerB bearbeiten, um Zugriffsberechtigungen für das Konto DOMAIN \ ServerA zu erteilen (denken Sie daran, dass dies die tatsächliche Berechtigung ist Konto für das Konto ServerA \ NETWORK SERVICE) und dann werden alle Anforderungen an die Ressource auf ServerB unter Verwendung der Anmeldeinformationen des Kontos DOMAIN \ ServerA ausgeführt.

Abgesehen davon scheinen die verwalteten Dienstkonten in Windows 2008 (danke für den Hinweis auf Oskar) eine noch bessere Möglichkeit zu sein, die Anforderungen von Dienstkonten zu erfüllen!

Dscoduc
quelle
Dies mag ein guter Ansatz für kleinere Umgebungen sein, skaliert jedoch überhaupt nicht.
Zypher
Vielleicht könnten Sie Ihrer Antwort einige zusätzliche Gedanken hinzufügen ...
Dscoduc
Gute Antwort. Ich bin auch neugierig, was skaliert nicht?
blank3