Tâches de maintenance de compte d’ouverture de session

Cette rubrique décrit les problèmes liés aux tâches de maintenance de compte d’ouverture de session.

Il existe deux principaux problèmes qui concernent les tâches de maintenance de compte d’ouverture de session :

• Mise à jour du mot de passe du compte pour une instance de service qui s’exécute sous un compte d’utilisateur. Pour plus d’informations, consultez Modification du mot de passe sur le compte d’utilisateur d’un service.
• Gestion des modifications apportées au compte d’ouverture de session d’une instance de service.

Ce dernier est un cas rare, mais peut se produire. Le système fournit l’outil d’administration gestion des ordinateurs qui permet la modification d’un compte d’ouverture de session de service. En outre, d’autres applications peuvent utiliser la fonction ChangeServiceConfig pour spécifier un nouveau compte d’ouverture de session pour un service installé. Par défaut, les privilèges d’administrateur local sont requis pour modifier un compte de service. Si cela s’est produit, cela peut affecter votre service de deux façons :

• Si vous avez inscrit des noms de principal de service (SPN), ils sont inscrits sur le compte incorrect.
• Si vous définissez les aces pour accorder l’accès au service, ils accordent désormais l’accès au compte incorrect.

Une approche consiste à faire en ce que le programme d’installation du service stocke les SPN inscrits pour chaque instance de service dans le Registre sur l’ordinateur hôte. Vous pouvez utiliser la même clé de Registre sous HKEY_LOCAL_MACHINE que vous avez utilisée pour stocker la chaîne de liaison du service SCP. Au démarrage du service, il appelle la fonction QueryServiceConfig pour déterminer son compte d’ouverture de session, puis interroge le serveur Active Directory pour déterminer si les spN sont inscrits sur l’objet d’annuaire pour ce compte. Si les SPN ne sont pas inscrits ou sont inscrits sur le compte incorrect, le service refuse de démarrer et affiche un message indiquant qu’un administrateur de domaine doit exécuter le programme de configuration du service pour mettre à jour les paramètres du compte d’ouverture de session. N’oubliez pas que cette reconfiguration doit être effectuée par un administrateur, car le compte de service ne doit pas avoir accès à la mise à jour de son propre SPN. Sachez également que les SPN doivent être supprimés de l’ancien compte, sinon les NOMS de service sont inutiles pour l’authentification, car ils ne sont pas uniques dans la forêt.