ログオンアカウントのメンテナンスタスク
このトピックでは、ログオンアカウントのメンテナンスタスクに関連する問題について説明します。
ログオンアカウントのメンテナンスタスクには、主に次の2つの問題があります。
- ユーザーアカウントで実行されるサービスインスタンスのアカウントパスワードの更新。 詳細については、 「サービスのユーザーアカウントのパスワードを変更する」 を参照してください。
- サービスインスタンスのログオンアカウントの変更を処理します。
後者はまれなケースですが、発生する可能性があります。 システムには、サービスログオンアカウントへの変更を可能にするコンピューター管理管理ツールが用意されています。 また、他のアプリケーションでは、ChangeServiceConfig関数を使用して、インストールされているサービスの新しいログオンアカウントを指定できます。 既定では、サービスアカウントを変更するには、ローカル管理者特権が必要です。 これが発生した場合、次の2つの方法でサービスに影響する可能性があります。
- サービスプリンシパル名 (Spn) を登録している場合は、間違ったアカウントに登録されます。
- サービスへのアクセスを許可するようにACEを設定すると、間違ったアカウントへのアクセスが許可されるようになります。
1つの方法は、ホストコンピューターのレジストリに各サービスインスタンスの登録済みSPNを格納することです。 サービスSCPのバインド文字列を格納するために使用したHKEY_LOCAL_MACHINEの下の同じレジストリキーを使用できます。 サービスが開始されると、QueryServiceConfig関数を呼び出してログオンアカウントを特定し、Active Directoryサーバーに照会して、そのアカウントのディレクトリオブジェクトにSPNが登録されているかどうかを確認します。 SPNが登録されていない場合、または間違ったアカウントに登録されている場合、サービスは開始を拒否し、ドメイン管理者がサービスの構成プログラムを実行してログオンアカウントの設定を更新する必要があることを示すメッセージが表示されます。 サービスアカウントには独自のSPNを更新するアクセス権がないため、この再構成は管理者が実行する必要があることに注意してください。 また、Spnは古いアカウントから削除する必要があります。そうしないと、フォレスト内で一意ではないため、Spnは認証に使用できなくなります。