Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом разделе описываются проблемы, относящиеся к задачам обслуживания учетной записи входа.
Существует две основные проблемы, связанные с задачами обслуживания учетной записи входа.
- Обновление пароля учетной записи для экземпляра службы, работающего под учетной записью пользователя. Дополнительные сведения см. в разделе Изменение пароля учетной записи пользователя службы.
- Обработка изменений учетной записи входа в экземпляр службы.
Последний является редким случаем, но может произойти. Система предоставляет средство администрирования "Управление компьютерами", которое позволяет изменять учетную запись входа в службу. Кроме того, другие приложения могут использовать функцию ChangeServiceConfig, чтобы указать новую учетную запись входа для установленной службы. По умолчанию для изменения учетной записи службы требуются права локального администратора. Если это произошло, это может повлиять на службу двумя способами:
- Если вы зарегистрировали имена субъектов-служб (SPN), они будут зарегистрированы в неправильной учетной записи.
- Если вы задали ACEs для предоставления доступа к службе, теперь они будут предоставлять доступ к неправильной учетной записи.
Один из способов заключается в том, чтобы установщик службы сохранял зарегистрированные имена субъектов-служб для каждого экземпляра службы в реестре на хост-компьютере. Вы можете использовать тот же раздел реестра в HKEY_LOCAL_MACHINE, который использовался для хранения строки привязки для SCP службы. При запуске службы вызывает функцию QueryServiceConfig, чтобы определить ее учетную запись входа, а затем запрашивает сервер Active Directory, чтобы определить, зарегистрированы ли имена субъектов-служб в объекте каталога для этой учетной записи. Если имена субъектов-служб не зарегистрированы или зарегистрированы в неправильной учетной записи, служба отказывается запускать и отображает сообщение о том, что администратор домена должен запустить программу конфигурации службы для обновления параметров учетной записи входа. Помните, что эта перенастройка должна быть завершена администратором, так как учетная запись службы не должна иметь доступа к обновлению собственного имени субъекта-службы. Кроме того, следует учитывать, что имена субъектов-служб должны быть удалены из старой учетной записи, в противном случае имена субъектов-служб будут бесполезны для проверки подлинности, так как они не являются уникальными в лесу.