Exécution d'un service Windows sous un compte d'utilisateur de domaine

Si j'exécute un service Windows sur un hôte sous un compte d'utilisateur de domaine et que le mot de passe de ce compte change ultérieurement, le service ne démarre-t-il pas jusqu'à ce que vous mettiez à jour le mot de passe?

Sinon, comment les informations d'identification du compte d'utilisateur de domaine sont-elles conservées sur la machine exécutant le service d'une manière qui leur permet de survivre à un changement de mot de passe?

Oui si vous changez le mot de passe. Ensuite, vous devez également mettre à jour le mot de passe du service.

En outre, dans Windows Server 2008 R2 (et Windows 7), il existe un nouveau (ou deux) type de compte de service (compte de service géré ) qui gérera les mots de passe pour vous.

Will the service now fail to start, until you update the password?

Oui. Ce qui rend la 2e question théorique.

Je désactive généralement l'expiration du mot de passe pour les comptes de `` service '', je leur attribue un mot de passe incroyablement complexe, je désactive leurs droits de connexion sur chaque machine et je les ajoute à la machine locale avec les droits dont ils ont besoin.

Un compte de service s'exécutant avec les informations d'identification d'un compte de domaine qui a récemment modifié le mot de passe du compte ne rencontrera un problème que lors d'un redémarrage de ce service. Étant donné que le serveur n'a pas été mis à jour avec le nouveau mot de passe, votre service ne pourra pas authentifier les informations d'identification du compte de service tant que vous n'aurez pas mis à jour les propriétés du service avec le mot de passe correct.

Cela étant dit, il est recommandé d'utiliser le compte SERVER \ NETWORK SERVICE pour les services qui nécessitent un accès au niveau du domaine. Le compte SERVICE RÉSEAU est en fait un compte alias lié à l'objet d'annuaire DOMAINE \ SERVERNAME dans Active Directory.

ex. ServeurA \ SERVICE RÉSEAU -> DOMAINE \ ServeurA

Imaginez que votre serveur exécutant le service est ServerA et que la ressource à laquelle votre service doit accéder est ServerB. En configurant le service pour utiliser le compte ServerA \ NETWORK SERVICE s'exécutera réellement avec le compte DOMAIN \ ServerA. Cela a un avantage supplémentaire du mécanisme automatisé de changement de mot de passe informatique qui a lieu (par défaut) tous les 30 jours, transparent pour vous ou votre service.

De plus, si vous devez accorder des autorisations pour que votre service communique avec le serveur de ressources (ServerB) dans la même forêt, vous pouvez simplement modifier les autorisations d'accès sur le ServerB pour accorder des autorisations d'accès au compte DOMAIN \ ServerA (rappelez-vous qu'il s'agit du réel pour le compte ServerA \ NETWORK SERVICE), puis toutes les demandes à la ressource sur ServerB seront effectuées à l'aide des informations d'identification du compte DOMAIN \ ServerA.

Cela étant dit, les comptes de services gérés dans Windows 2008 (merci d'avoir souligné cela Oskar) semblent être un meilleur moyen de gérer les besoins des comptes de service!