Udostępnij za pośrednictwem

Zadania konserwacji konta logowania

  • Artykuł

W tym temacie opisano problemy związane z zadaniami konserwacji konta logowania.

Istnieją dwa podstawowe problemy, które dotyczą zadań konserwacji konta logowania:

  • Aktualizowanie hasła konta dla wystąpienia usługi uruchomionego w ramach konta użytkownika. Aby uzyskać więcej informacji, zobacz Zmienianie hasła na koncie użytkownika usługi.
  • Obsługa zmian na koncie logowania wystąpienia usługi.

Ten ostatni jest rzadkim przypadkiem, ale może się zdarzyć. System udostępnia narzędzie administracyjne Zarządzanie komputerem, które umożliwia zmianę konta logowania do usługi. Ponadto inne aplikacje mogą używać funkcji ChangeServiceConfig w celu określenia nowego konta logowania dla zainstalowanej usługi. Domyślnie uprawnienia administratora lokalnego są wymagane do zmiany konta usługi. Jeśli tak się stało, może to mieć wpływ na twoją usługę na dwa sposoby:

  • Jeśli zarejestrowano nazwy główne usługi (SPN), zostaną one zarejestrowane na nieprawidłowym koncie.
  • Jeśli ustawisz elementy ACL, aby udzielić dostępu do usługi, będą one teraz udzielać dostępu do niewłaściwego konta.

Jednym z podejść jest przechowywanie zarejestrowanych nazw SPN przez instalatora usługi dla każdego wystąpienia usługi w rejestrze na komputerze hosta. Możesz użyć tego samego klucza rejestru w HKEY_LOCAL_MACHINE, który został użyty do przechowywania ciągu powiązania dla punktu połączenia usługi. Po uruchomieniu usługi wywołuje funkcję QueryServiceConfig w celu określenia konta logowania, a następnie wysyła zapytanie do serwera usługi Active Directory w celu określenia, czy nazwy SPN są zarejestrowane w obiekcie katalogu dla tego konta. Jeśli nazwy SPN nie są zarejestrowane lub są zarejestrowane na niewłaściwym koncie, usługa odmawia uruchomienia i wyświetla komunikat informujący, że administrator domeny musi uruchomić program konfiguracji usługi w celu zaktualizowania ustawień konta logowania. Należy pamiętać, że ta ponowna konfiguracja musi zostać ukończona przez administratora, ponieważ konto usługi nie powinno mieć dostępu do aktualizowania własnej nazwy SPN. Należy również pamiętać, że nazwy SPN muszą zostać usunięte ze starego konta. W przeciwnym razie nazwy SPN będą bezużyteczne do uwierzytelniania, ponieważ nie są unikatowe w lesie.