로그온 계정 유지 관리 작업

이 항목에서는 로그온 계정 유지 관리 작업과 관련된 문제에 대해 설명합니다.

로그온 계정 유지 관리 작업과 관련된 두 가지 주요 문제가 있습니다.

• 사용자 계정으로 실행되는 서비스 instance 대한 계정 암호를 업데이트합니다. 자세한 내용은 서비스의 사용자 계정에서 암호 변경을 참조하세요.
• 서비스 instance 로그온 계정에 대한 변경 내용을 처리합니다.

후자는 드문 경우이지만 발생할 수 있습니다. 시스템은 서비스 로그온 계정을 변경할 수 있는 컴퓨터 관리 관리 도구를 제공합니다. 또한 다른 애플리케이션은 ChangeServiceConfig 함수를 사용하여 설치된 서비스에 대한 새 로그온 계정을 지정할 수 있습니다. 기본적으로 서비스 계정을 변경하려면 로컬 관리자 권한이 필요합니다. 이 경우 다음 두 가지 방법으로 서비스에 영향을 줄 수 있습니다.

• SPN(서비스 사용자 이름)을 등록한 경우 잘못된 계정에 등록됩니다.
• 서비스에 대한 액세스 권한을 부여하도록 ACE를 설정하면 이제 잘못된 계정에 대한 액세스 권한을 부여합니다.

한 가지 방법은 서비스 설치 관리자가 호스트 컴퓨터의 레지스트리에 instance 각 서비스에 대해 등록된 SPN을 저장하도록 하는 것입니다. 서비스 SCP에 대한 바인딩 문자열을 저장하는 데 사용한 HKEY_LOCAL_MACHINE 동일한 레지스트리 키를 사용할 수 있습니다. 서비스가 시작되면 QueryServiceConfig 함수를 호출하여 로그온 계정을 확인한 다음 Active Directory 서버를 쿼리하여 SPN이 해당 계정의 디렉터리 개체에 등록되어 있는지 여부를 확인합니다. SPN이 등록되지 않았거나 잘못된 계정에 등록된 경우 서비스는 시작을 거부하고 도메인 관리자가 서비스의 구성 프로그램을 실행하여 로그온 계정 설정을 업데이트해야 한다는 메시지를 표시합니다. 서비스 계정에 자체 SPN을 업데이트할 수 있는 액세스 권한이 없어야 하므로 관리자가 이 재구성을 완료해야 합니다. 또한 이전 계정에서 SPN을 제거해야 합니다. 그렇지 않으면 SPN은 포리스트에서 고유하지 않으므로 인증에 쓸모가 없습니다.