Sdílet prostřednictvím

Úlohy údržby přihlašovacího účtu

  • Článek

Toto téma popisuje problémy související s úlohami údržby přihlašovacích účtů.

Existují dva hlavní problémy, které se týkají úloh údržby přihlašovacích účtů:

  • Aktualizace hesla účtu pro instanci služby, která běží pod uživatelským účtem. Další informace najdete v tématu Změna hesla v uživatelském účtu služby.
  • Zpracování změn přihlašovacího účtu instance služby

Jedná se o výjimečný případ, ale může k tomu dojít. Systém poskytuje nástroj pro správu počítače, který umožňuje změnu na přihlašovací účet služby. Kromě toho mohou jiné aplikace použít funkci ChangeServiceConfig k určení nového přihlašovacího účtu pro nainstalovanou službu. Oprávnění místního správce jsou ve výchozím nastavení nutná ke změně účtu služby. Pokud k tomu dojde, může to mít vliv na vaši službu dvěma způsoby:

  • Pokud jste zaregistrovali hlavní názvy služeb (SPN), budou zaregistrované na nesprávném účtu.
  • Pokud nastavíte ACL tak, aby udělovala přístup ke službě, udělila by teď přístup k nesprávnému účtu.

Jedním z přístupů je uložení registrovaných hlavních názvů služeb pro každou instanci služby v registru v hostitelském počítači. Stejný klíč registru můžete použít v HKEY_LOCAL_MACHINE, který jste použili k uložení řetězce vazby pro spojovací bod služby. Když se služba spustí, zavolá funkci QueryServiceConfig, aby určila svůj přihlašovací účet a potom se dotazuje serveru služby Active Directory, aby určila, jestli jsou hlavní názvy služby zaregistrované v objektu adresáře pro tento účet. Pokud hlavní názvy služeb nejsou zaregistrované nebo jsou zaregistrované v nesprávném účtu, služba odmítne spustit a zobrazí zprávu s informací, že správce domény musí spustit konfigurační program služby, aby aktualizoval nastavení přihlašovacího účtu. Mějte na paměti, že tuto rekonfiguraci musí dokončit správce, protože účet služby by neměl mít přístup k aktualizaci vlastního hlavního názvu služby (SPN). Mějte také na paměti, že hlavní názvy služby musí být odebrány ze starého účtu, jinak budou hlavní názvy služeb pro ověřování zbytečné, protože nejsou jedinečné v doménové struktuře.