Tarefas de manutenção da conta de logon

  • Artigo

Este tópico descreve problemas relacionados a tarefas de manutenção de conta de logon.

Há dois problemas principais que dizem respeito às tarefas de manutenção da conta de logon:

  • Atualizando a senha da conta para uma instância de serviço executada em uma conta de usuário. Para obter mais informações, consulte Alterando a senha na conta de usuário de um serviço.
  • Manipulando alterações na conta de logon de uma instância de serviço.

Este último é um caso raro, mas pode acontecer. O sistema fornece a ferramenta administrativa Gerenciamento do Computador que permite a alteração em uma conta de logon de serviço. Além disso, outros aplicativos podem usar a função ChangeServiceConfig para especificar uma nova conta de logon para um serviço instalado. Por padrão, privilégios de administrador local são necessários para alterar uma conta de serviço. Se isso acontecer, isso pode afetar seu serviço de duas maneiras:

  • Se você tiver registrado nomes de entidade de serviço (SPNs), eles serão registrados na conta errada.
  • Se você definir ACEs para conceder acesso ao serviço, eles agora concederão acesso à conta errada.

Uma abordagem é fazer com que o instalador do serviço armazene os SPNs registrados para cada instância de serviço no Registro no computador host. Você pode usar a mesma chave do Registro em HKEY_LOCAL_MACHINE que você usou para armazenar a cadeia de caracteres de associação para o serviço SCP. Quando o serviço é iniciado, ele chama a função QueryServiceConfig para determinar sua conta de logon e, em seguida, consulta o servidor do Active Directory para determinar se os SPNs estão registrados no objeto de diretório para essa conta. Se os SPNs não estiverem registrados ou estiverem registrados na conta errada, o serviço se recusará a iniciar e exibirá uma mensagem informando que um administrador de domínio deve executar o programa de configuração do serviço para atualizar as configurações da conta de logon. Lembre-se de que essa reconfiguração deve ser concluída por um administrador porque a conta de serviço não deve ter acesso para atualizar seu próprio SPN. Além disso, esteja ciente de que os SPNs devem ser removidos da conta antiga, caso contrário, os SPNs serão inúteis para autenticação porque não são exclusivos na floresta.