Menjalankan layanan Windows di bawah akun pengguna domain

8

Jika saya menjalankan layanan Windows pada beberapa host di bawah akun pengguna domain, dan kata sandi untuk akun ini berubah di beberapa titik kemudian, akankah layanan sekarang gagal untuk memulai, sampai Anda memperbarui kata sandi?

Jika tidak, bagaimana kredensial untuk akun pengguna domain bertahan di mesin yang menjalankan layanan dengan cara yang memungkinkan mereka selamat dari perubahan kata sandi?

windows domain password windows-service kerberos BeeOnRope
sumber

Jawaban:

6

Ya jika Anda mengubah kata sandi. Maka Anda harus memperbarui kata sandi untuk layanan ini juga.

proy
sumber
Bagaimana jika layanan masih berjalan? Apakah ini berlanjut sampai dihentikan sekali?
Koen
Ya itu terus berjalan
proy
10

Sebagai tambahan, di Windows Server 2008 R2 (dan Windows 7) ada jenis akun layanan baru (atau dua) ( Akun Layanan Terkelola ) yang akan mengelola kata sandi untuk Anda.

Oskar Duveborn
sumber
+1 - Komentar luar biasa Oskar - Managed Service Accounts adalah fitur baru di Windows 2008 R2 yang mudah diabaikan. Jika Anda menjalankan layanan dengan akun domain Anda harus melihat ke dalam fitur baru ini.
Dscoduc
5

Will the service now fail to start, until you update the password?

Iya. Yang membuat pertanyaan ke-2 bisa diperdebatkan.

Saya biasanya menonaktifkan kedaluwarsa kata sandi untuk akun 'layanan', mengaturnya ke kata sandi yang sangat kompleks, dan menonaktifkan hak masuk mereka untuk setiap mesin tunggal dan hanya menambahkannya ke mesin lokal dengan hak apa pun yang mereka butuhkan.

Mark Henderson
sumber
Mengapa tidak menggunakan Akun Layanan Jaringan saja? Itulah
gunanya
kami menggunakan akun aktif non-masuk untuk menjalankan layanan di server kami. kata sandi adalah semacam wajah menabrak kb dan ditetapkan untuk tidak pernah berakhir. Itu bekerja dengan baik untuk kita.
aduljr
5
@Dscoduc, karena kadang-kadang kita ingin menonaktifkan akun layanan tertentu di tingkat perusahaan
Mark Henderson
4

Akun layanan yang berjalan dengan kredensial akun domain yang baru saja mengubah kata sandi akun akan mengalami masalah hanya selama restart layanan itu. Karena server belum diperbarui dengan kata sandi baru, layanan Anda tidak akan dapat mengautentikasi kredensial akun layanan hingga Anda memperbarui properti layanan dengan kata sandi yang benar.

Karena itu, disarankan agar Anda menggunakan akun SERVER \ NETWORK SERVICE untuk layanan yang memerlukan akses tingkat domain. Akun NETWORK SERVICE sebenarnya adalah akun alias yang menautkan ke objek direktori DOMAIN \ SERVERNAME di Active Directory.

ex. ServerA \ NETWORK SERVICE -> DOMAIN \ ServerA

Bayangkan server Anda menjalankan layanan adalah ServerA dan sumber daya layanan Anda memerlukan akses ke adalah ServerB. Dengan mengkonfigurasi layanan untuk menggunakan akun ServerA \ NETWORK SERVICE akan benar-benar berjalan dengan akun DOMAIN \ ServerA. Ini memiliki manfaat tambahan dari mekanisme perubahan kata sandi komputer otomatis yang terjadi (secara default) setiap 30 hari, transparan untuk Anda atau layanan Anda.

Juga, jika Anda perlu memberikan izin untuk layanan Anda untuk berkomunikasi dengan server sumber daya (ServerB) di hutan yang sama, Anda cukup mengedit izin akses di ServerB untuk memberikan izin akses ke akun DOMAIN \ ServerA (ingat itu adalah yang sebenarnya akun untuk akun ServerA \ NETWORK SERVICE) dan kemudian semua permintaan ke sumber daya di ServerB akan dilakukan menggunakan kredensial akun DOMAIN \ ServerA.

Semua yang dikatakan, Akun Layanan Terkelola di Windows 2008 (terima kasih telah menunjukkan bahwa Oskar) tampaknya menjadi cara yang lebih baik untuk menangani kebutuhan akun layanan!

Dscoduc
sumber
Ini mungkin merupakan pendekatan yang baik untuk lingkungan yang lebih kecil, namun tidak berskala sama sekali.
Zypher
Mungkin Anda bisa menambahkan beberapa pemikiran tambahan untuk respons Anda ...
Dscoduc
Jawaban bagus. Saya ingin tahu juga, apa yang tidak skala?
blank3