Jika saya menjalankan layanan Windows pada beberapa host di bawah akun pengguna domain, dan kata sandi untuk akun ini berubah di beberapa titik kemudian, akankah layanan sekarang gagal untuk memulai, sampai Anda memperbarui kata sandi?
Jika tidak, bagaimana kredensial untuk akun pengguna domain bertahan di mesin yang menjalankan layanan dengan cara yang memungkinkan mereka selamat dari perubahan kata sandi?
Sebagai tambahan, di Windows Server 2008 R2 (dan Windows 7) ada jenis akun layanan baru (atau dua) ( Akun Layanan Terkelola ) yang akan mengelola kata sandi untuk Anda.
sumber
Will the service now fail to start, until you update the password?
Iya. Yang membuat pertanyaan ke-2 bisa diperdebatkan.
Saya biasanya menonaktifkan kedaluwarsa kata sandi untuk akun 'layanan', mengaturnya ke kata sandi yang sangat kompleks, dan menonaktifkan hak masuk mereka untuk setiap mesin tunggal dan hanya menambahkannya ke mesin lokal dengan hak apa pun yang mereka butuhkan.
sumber
Akun layanan yang berjalan dengan kredensial akun domain yang baru saja mengubah kata sandi akun akan mengalami masalah hanya selama restart layanan itu. Karena server belum diperbarui dengan kata sandi baru, layanan Anda tidak akan dapat mengautentikasi kredensial akun layanan hingga Anda memperbarui properti layanan dengan kata sandi yang benar.
Karena itu, disarankan agar Anda menggunakan akun SERVER \ NETWORK SERVICE untuk layanan yang memerlukan akses tingkat domain. Akun NETWORK SERVICE sebenarnya adalah akun alias yang menautkan ke objek direktori DOMAIN \ SERVERNAME di Active Directory.
ex. ServerA \ NETWORK SERVICE -> DOMAIN \ ServerA
Bayangkan server Anda menjalankan layanan adalah ServerA dan sumber daya layanan Anda memerlukan akses ke adalah ServerB. Dengan mengkonfigurasi layanan untuk menggunakan akun ServerA \ NETWORK SERVICE akan benar-benar berjalan dengan akun DOMAIN \ ServerA. Ini memiliki manfaat tambahan dari mekanisme perubahan kata sandi komputer otomatis yang terjadi (secara default) setiap 30 hari, transparan untuk Anda atau layanan Anda.
Juga, jika Anda perlu memberikan izin untuk layanan Anda untuk berkomunikasi dengan server sumber daya (ServerB) di hutan yang sama, Anda cukup mengedit izin akses di ServerB untuk memberikan izin akses ke akun DOMAIN \ ServerA (ingat itu adalah yang sebenarnya akun untuk akun ServerA \ NETWORK SERVICE) dan kemudian semua permintaan ke sumber daya di ServerB akan dilakukan menggunakan kredensial akun DOMAIN \ ServerA.
Semua yang dikatakan, Akun Layanan Terkelola di Windows 2008 (terima kasih telah menunjukkan bahwa Oskar) tampaknya menjadi cara yang lebih baik untuk menangani kebutuhan akun layanan!
sumber