Si ejecuto un servicio de Windows en algún host con una cuenta de usuario de dominio, y la contraseña de esta cuenta cambia en algún momento posterior, ¿no se iniciará el servicio hasta que actualice la contraseña?
Si no, ¿cómo persisten las credenciales para la cuenta de usuario de dominio en la máquina que ejecuta el servicio de manera que les permita sobrevivir a un cambio de contraseña?
Respuestas:
Además, en Windows Server 2008 R2 (y Windows 7) hay un nuevo (o dos) tipo de cuenta de servicio ( Cuenta de servicio administrado ) que administrará las contraseñas por usted.
Will the service now fail to start, until you update the password?
Si. Lo que hace que la segunda pregunta sea discutible.
Por lo general, deshabilito la caducidad de la contraseña para las cuentas de 'servicio', las configuro en una contraseña increíblemente compleja, y deshabilito sus derechos de inicio de sesión en cada máquina y solo las agrego a la máquina local con los derechos que requieran.
Una cuenta de servicio que se ejecuta con las credenciales de una cuenta de dominio que ha cambiado recientemente la contraseña de la cuenta se encontrará con un problema solo durante el reinicio de ese servicio. Dado que el servidor no se ha actualizado con la nueva contraseña, su servicio no podrá autenticar las credenciales de la cuenta de servicio hasta que actualice las propiedades del servicio con la contraseña correcta.
Dicho esto, se recomienda que utilice la cuenta SERVER \ NETWORK SERVICE para servicios que requieren acceso a nivel de dominio. La cuenta de SERVICIO DE RED es en realidad una cuenta de alias que se vincula al objeto de directorio DOMINIO \ NOMBRE DE SERVIDOR en Active Directory.
ex. ServidorA \ SERVICIO DE RED -> DOMINIO \ ServidorA
Imagine que su servidor que ejecuta el servicio es ServerA y el recurso al que su servicio necesita acceso es ServerB. Al configurar el servicio para usar la cuenta ServidorA \ SERVICIO DE RED se ejecutará realmente con la cuenta DOMINIO \ ServidorA. Esto tiene un beneficio adicional del mecanismo automatizado de cambio de contraseña de la computadora que tiene lugar (por defecto) cada 30 días, de forma transparente para usted o su servicio.
Además, si necesita otorgar permisos para que su servicio se comunique con el servidor de recursos (ServerB) en el mismo bosque, simplemente puede editar los permisos de acceso en el ServerB para otorgar permisos de acceso a la cuenta DOMAIN \ ServerA (recuerde que es el actual cuenta para la cuenta ServerA \ NETWORK SERVICE) y luego todas las solicitudes al recurso en ServerB se realizarán utilizando las credenciales de la cuenta DOMAIN \ ServerA.
Dicho todo esto, las cuentas de servicio administrado en Windows 2008 (gracias por señalar que Oskar) parece ser una forma aún mejor de manejar las necesidades de la cuenta de servicio.