通过

登录帐户维护任务

  • 项目

本主题介绍与登录帐户维护任务相关的问题。

有两个主要问题涉及登录帐户维护任务:

  • 更新用户帐户下运行的服务实例的帐户密码。 有关详细信息,请参阅 更改服务用户帐户上的密码。
  • 处理对服务实例登录帐户的更改。

后者是一个罕见的情况,但可能发生。 系统提供计算机管理工具,可用于更改服务登录帐户。 此外,其他应用程序可以使用 ChangeServiceConfig 函数为已安装的服务指定新的登录帐户。 默认情况下,需要本地管理员权限才能更改服务帐户。 如果发生这种情况,它可能会以两种方式影响服务:

  • 如果已注册服务主体名称(SPN),则会在错误的帐户中注册它们。
  • 如果将 ACE 设置为授予对服务的访问权限,则他们现在将授予对错误帐户的访问权限。

一种方法是让服务安装程序为主计算机上的注册表中的每个服务实例存储已注册的 SPN。 可以在用于存储服务 SCP 绑定字符串的HKEY_LOCAL_MACHINE下使用相同的注册表项。 服务启动时,它会调用 QueryServiceConfig 函数来确定其登录帐户,然后查询 Active Directory 服务器,以确定 SPN 是否已在该帐户的目录对象上注册。 如果未注册 SPN 或注册错误帐户,服务将拒绝启动并显示一条消息,指出域管理员必须运行服务的配置程序来更新登录帐户设置。 请注意,此重新配置必须由管理员完成,因为服务帐户不应有权更新自己的 SPN。 另请注意,必须从旧帐户中删除 SPN,否则 SPN 将不可用于身份验证,因为它们在林中并不唯一。