Wartungsaufgaben für Anmeldekonten

In diesem Thema werden Probleme beschrieben, die sich auf Wartungsaufgaben des Anmeldekontos beziehen.

Es gibt zwei Hauptprobleme, die Wartungsaufgaben für Anmeldekonten betreffen:

• Aktualisieren des Kontokennworts für eine Dienstinstanz, die unter einem Benutzerkonto ausgeführt wird. Weitere Informationen finden Sie unter Ändern des Kennworts für das Benutzerkonto eines Diensts.
• Behandeln von Änderungen am Anmeldekonto einer Dienstinstanz.

Letzteres ist ein seltener Fall, kann aber passieren. Das System stellt das Verwaltungstool "Computerverwaltung" bereit, das eine Änderung in ein Dienstanmeldungskonto ermöglicht. Darüber hinaus können andere Anwendungen die ChangeServiceConfig--Funktion verwenden, um ein neues Anmeldekonto für einen installierten Dienst anzugeben. Standardmäßig sind lokale Administratorrechte erforderlich, um ein Dienstkonto zu ändern. Wenn dies der Fall ist, kann sich dies auf zwei Arten auf Ihren Dienst auswirken:

• Wenn Sie Dienstprinzipalnamen (Service Principal Names, SPNs) registriert haben, werden sie für das falsche Konto registriert.
• Wenn Sie ACEs so festlegen, dass der Zugriff auf den Dienst gewährt wird, würde er jetzt Zugriff auf das falsche Konto gewähren.

Ein Ansatz besteht darin, dass das Dienstinstallationsprogramm die registrierten SPNs für jede Dienstinstanz in der Registrierung auf dem Hostcomputer speichert. Sie können denselben Registrierungsschlüssel unter HKEY_LOCAL_MACHINE verwenden, den Sie zum Speichern der Bindungszeichenfolge für den Dienst-SCP verwendet haben. Wenn der Dienst gestartet wird, ruft er die QueryServiceConfig--Funktion auf, um sein Anmeldekonto zu ermitteln, und fragt dann den Active Directory-Server ab, um zu bestimmen, ob die SPNs im Verzeichnisobjekt für dieses Konto registriert sind. Wenn die SPNs nicht registriert sind oder auf dem falschen Konto registriert sind, verweigert der Dienst den Start und zeigt eine Meldung an, dass ein Domänenadministrator das Konfigurationsprogramm des Diensts ausführen muss, um die Anmeldekontoeinstellungen zu aktualisieren. Beachten Sie, dass diese Neukonfiguration von einem Administrator abgeschlossen werden muss, da das Dienstkonto keinen Zugriff auf die Aktualisierung seines eigenen SPN haben sollte. Beachten Sie außerdem, dass SPNs aus dem alten Konto entfernt werden müssen, andernfalls sind die SPNs für die Authentifizierung nutzlos, da sie nicht in der Gesamtstruktur eindeutig sind.