Anmeldekontowartungsaufgaben
In diesem Thema werden Probleme im Zusammenhang mit Wartungsaufgaben für Anmeldekonten beschrieben.
Es gibt zwei Hauptprobleme, die die Wartungsaufgaben für Anmeldekonten betreffen:
- Aktualisieren des Kontokennworts für einen Dienst instance, der unter einem Benutzerkonto ausgeführt wird. Weitere Informationen finden Sie unter Ändern des Kennworts für das Benutzerkonto eines Diensts.
- Behandeln von Änderungen am Anmeldekonto eines Diensts instance.
Letzteres ist ein seltener Fall, kann aber vorkommen. Das System stellt das Verwaltungstool für die Computerverwaltung bereit, das den Wechsel zu einem Dienstanmeldungskonto ermöglicht. Darüber hinaus können andere Anwendungen die ChangeServiceConfig-Funktion verwenden, um ein neues Anmeldekonto für einen installierten Dienst anzugeben. Standardmäßig sind lokale Administratorrechte erforderlich, um ein Dienstkonto zu ändern. In diesem Fall könnte sich dies auf zwei Arten auf Ihren Dienst auswirken:
- Wenn Sie Dienstprinzipalnamen (Service Principal Names, SPNs) registriert haben, werden diese im falschen Konto registriert.
- Wenn Sie ACEs so festlegen, dass sie Zugriff auf den Dienst gewähren, würden sie jetzt Zugriff auf das falsche Konto gewähren.
Ein Ansatz besteht darin, dass das Dienstinstallationsprogramm die registrierten SPNs für jeden Dienst instance in der Registrierung auf dem Hostcomputer speichert. Sie können denselben Registrierungsschlüssel unter HKEY_LOCAL_MACHINE verwenden, den Sie zum Speichern der Bindungszeichenfolge für den Dienst-SCP verwendet haben. Wenn der Dienst gestartet wird, ruft er die QueryServiceConfig-Funktion auf, um sein Anmeldekonto zu bestimmen, und fragt dann den Active Directory-Server ab, um zu ermitteln, ob die SPNs im Verzeichnisobjekt für dieses Konto registriert sind. Wenn die SPNs nicht registriert oder im falschen Konto registriert sind, lehnt der Dienst den Start ab und zeigt eine Meldung an, dass ein Domänenadministrator das Konfigurationsprogramm des Diensts ausführen muss, um die Anmeldekontoeinstellungen zu aktualisieren. Beachten Sie, dass diese Neukonfiguration von einem Administrator abgeschlossen werden muss, da das Dienstkonto keinen Zugriff zum Aktualisieren seines eigenen SPN haben sollte. Beachten Sie auch, dass SPNs aus dem alten Konto entfernt werden müssen. Andernfalls sind die SPNs für die Authentifizierung nutzlos, da sie in der Gesamtstruktur nicht eindeutig sind.