ドメインユーザーアカウントのあるホストでWindowsサービスを実行し、このアカウントのパスワードが後で変更された場合、パスワードを更新するまでサービスは開始できなくなりますか?
そうでない場合、ドメインユーザーアカウントの資格情報は、サービスを実行しているマシンで、パスワードの変更に耐えられるようにどのように保持されますか?
パスワードを変更する場合は、はい。次に、サービスのパスワードも更新する必要があります。
さらに、Windows Server 2008 R2(およびWindows 7)には、パスワードを管理する新しい(または2つの)サービスアカウントタイプ( Managed Service Account )があります。
Will the service now fail to start, until you update the password?
はい。これは、2番目の質問を無効にします。
私は通常、「サービス」アカウントのパスワードの有効期限を無効にし、それらに信じられないほど複雑なパスワードを設定し、すべての単一マシンへのログオン権限を無効にして、必要な権限でローカルマシンに追加します。
最近アカウントパスワードを変更したドメインアカウントの資格情報を使用して実行しているサービスアカウントは、そのサービスの再起動中にのみ問題が発生します。サーバーは新しいパスワードで更新されていないため、サービスのプロパティを正しいパスワードで更新するまで、サービスはサービスアカウントの認証情報を認証できません。
つまり、ドメインレベルのアクセスを必要とするサービスには、SERVER\NETWORK SERVICEアカウントを使用することをお勧めします。 NETWORK SERVICEアカウントは、実際にはActive Directory内のDOMAIN\SERVERNAMEディレクトリオブジェクトにリンクするエイリアスアカウントです。
例ServerA\NETWORK SERVICE-> DOMAIN\ServerA
サービスを実行しているサーバーがServerAであり、サービスがアクセスする必要があるリソースがServerBであるとします。 ServerA\NETWORK SERVICEアカウントを使用するようにサービスを構成すると、実際にはDOMAIN\ServerAアカウントで実行されます。これには、30日ごとに(デフォルトで)実行される自動化されたコンピューターパスワード変更メカニズムの追加の利点があり、ユーザーまたはサービスに対して透過的です。
また、サービスが同じフォレスト内のリソースサーバー(ServerB)と通信するためのアクセス許可を付与する必要がある場合は、ServerBのアクセス許可を編集して、DOMAIN\ServerAアカウントにアクセス許可を付与することができます(実際のアカウントであることを忘れないでください) ServerA\NETWORK SERVICEアカウントのアカウント)、ServerB上のリソースへのすべての要求は、DOMAIN\ServerAアカウントの資格情報を使用して実行されます。
そうは言っても、 Windows 2008の管理されたサービスアカウント (Oskarを指摘してくれてありがとう)は、サービスアカウントのニーズを処理するためのさらに優れた方法のようです!