Если я запускаю службу Windows на каком-либо хосте под учетной записью пользователя домена, и пароль для этой учетной записи изменится позже, будет ли служба теперь не запускаться, пока вы не обновите пароль?
Если нет, то как учетные данные учетной записи пользователя домена сохраняются на машине, на которой запущена служба, таким образом, чтобы они могли пережить смену пароля?
Кроме того, в Windows Server 2008 R2 (и Windows 7) есть новый (или два) тип учетной записи службы (Управляемая учетная запись службы), который будет управлять паролями за вас.
Да, если вы измените пароль. Тогда вам также необходимо обновить пароль для услуги.
Will the service now fail to start, until you update the password?
Да. Что делает второй вопрос спорным.
Я обычно отключаю истечение срока действия пароля для «служебных» учетных записей, устанавливаю для них невероятно сложный пароль, отключаю их права входа в систему на каждой отдельной машине и просто добавляю их на локальную машину с любыми необходимыми правами.
Учетная запись службы, работающая с учетными данными учетной записи домена, которая недавно изменила пароль учетной записи, столкнется с проблемой только во время перезапуска этой службы. Поскольку на сервере не установлен новый пароль, ваша служба не сможет аутентифицировать учетные данные учетной записи службы, пока вы не обновите свойства службы с помощью правильного пароля.
При этом рекомендуется использовать учетную запись SERVER \ NETWORK SERVICE для служб, которым требуется доступ на уровне домена. Учетная запись NETWORK SERVICE фактически является учетной записью псевдонима, связанной с объектом каталога DOMAIN \ SERVERNAME в Active Directory.
напр. ServerA \ NETWORK SERVICE -> ДОМЕН \ ServerA
Представьте, что ваш сервер, на котором запущена служба, - это ServerA, а ресурс, к которому вашей службе нужен доступ, - это ServerB. Если настроить службу для использования учетной записи ServerA \ NETWORK SERVICE, она будет фактически работать с учетной записью DOMAIN \ ServerA. Это дает дополнительное преимущество - механизм автоматической смены пароля компьютера, который происходит (по умолчанию) каждые 30 дней и прозрачен для вас или вашей службы.
Кроме того, если вам нужно предоставить разрешения для вашей службы для связи с сервером ресурсов (ServerB) в том же лесу, вы можете просто отредактировать разрешения доступа на ServerB, чтобы предоставить разрешения на доступ учетной записи DOMAIN \ ServerA (помните, что это фактический учетной записи для учетной записи ServerA \ NETWORK SERVICE), а затем все запросы к ресурсу на ServerB будут выполняться с использованием учетных данных учетной записи DOMAIN \ ServerA.
Все, что было сказано, Управляемые учетные записи служб в Windows 2008 (спасибо, что указали на это, Оскар) кажется еще лучшим способом удовлетворить потребности в учетной записи службы!