Tâches de maintenance du compte d’ouverture de session
Cette rubrique décrit les problèmes liés aux tâches de maintenance de compte d’ouverture de session.
Il existe deux problèmes principaux qui concernent les tâches de maintenance de compte d’ouverture de session :
- Mise à jour du mot de passe du compte pour une instance de service qui s’exécute sous un compte d’utilisateur. Pour plus d’informations, consultez modification du mot de passe sur le compte d’utilisateur d’un service.
- Gestion des modifications apportées au compte d’ouverture de session d’une instance de service.
Ce dernier cas est rare, mais peut se produire. Le système fournit l’outil d’administration gestion de l’ordinateur qui permet la modification d’un compte d’ouverture de session de service. En outre, d’autres applications peuvent utiliser la fonction ChangeServiceConfig pour spécifier un nouveau compte d’ouverture de session pour un service installé. Par défaut, des privilèges d’administrateur local sont requis pour modifier un compte de service. Si cela s’est produit, cela peut affecter votre service de deux manières :
- Si vous avez inscrit des noms de principal du service (SPN), ceux-ci seront inscrits sur le mauvais compte.
- Si vous définissez des ACE pour accorder l’accès au service, ils accordent à présent l’accès au mauvais compte.
Une approche consiste à faire en sorte que le programme d’installation du service stocke les noms de principal du service inscrits pour chaque instance de service dans le registre de l’ordinateur hôte. Vous pouvez utiliser la même clé de Registre sous HKEY _ local _ machine que celle utilisée pour stocker la chaîne de liaison pour le SCP du service. Lorsque le service démarre, il appelle la fonction QueryServiceConfig pour déterminer son compte d’ouverture de session, puis interroge le serveur Active Directory pour déterminer si les noms principaux de service sont inscrits sur l’objet d’annuaire pour ce compte. Si les noms de principal du service ne sont pas inscrits ou s’ils sont inscrits sur un compte incorrect, le service refuse de démarrer et affiche un message indiquant qu’un administrateur de domaine doit exécuter le programme de configuration du service pour mettre à jour les paramètres du compte d’ouverture de session. N’oubliez pas que cette reconfiguration doit être effectuée par un administrateur, car le compte de service ne doit pas avoir accès pour mettre à jour son propre SPN. Sachez également que les noms de principal du service doivent être supprimés de l’ancien compte. dans le cas contraire, les SPN seront inutiles pour l’authentification, car ils ne sont pas uniques dans la forêt.