Se eu executar um serviço do Windows em algum host em uma conta de usuário de domínio, e a senha dessa conta for alterada em algum momento posterior, o serviço falhará agora ao iniciar, até você atualizar a senha?
Caso contrário, como as credenciais da conta de usuário do domínio persistem na máquina executando o serviço de uma maneira que permita sobreviver a uma alteração de senha?
Respostas:
Sim se você alterar a senha. Então você também deve atualizar a senha do serviço.
Além disso, no Windows Server 2008 R2 (e Windows 7), há um novo (ou dois) tipo de conta de serviço ( Conta de Serviço Gerenciado ) que gerenciará as senhas para você.
Will the service now fail to start, until you update the password?
Sim. O que torna a segunda pergunta discutível.
Normalmente desabilito a expiração de senha para contas de 'serviço', defino-as com uma senha incrivelmente complexa e desabilito seus direitos de logon em cada máquina e apenas as adiciono à máquina local com todos os direitos que eles exigem.
Uma conta de serviço em execução com as credenciais de uma conta de domínio que alterou recentemente a senha da conta terá um problema apenas durante a reinicialização desse serviço. Como o servidor não foi atualizado com a nova senha, seu serviço não poderá autenticar as credenciais da conta de serviço até que você atualize as propriedades do serviço com a senha correta.
Dito isto, é recomendável que você use a conta SERVER \ NETWORK SERVICE para serviços que exijam acesso no nível do domínio. A conta NETWORK SERVICE é na verdade uma conta de alias vinculada ao objeto de diretório DOMAIN \ SERVERNAME no Active Directory.
ex. ServerA \ SERVIÇO DE REDE -> DOMÍNIO \ ServerA
Imagine que seu servidor executando o serviço é ServerA e o recurso ao qual seu serviço precisa acessar é ServerB. Ao configurar o serviço para usar a conta ServerA \ NETWORK SERVICE, será realmente executado com a conta DOMAIN \ ServerA. Isso tem um benefício adicional do mecanismo automatizado de alteração de senha de computador que ocorre (por padrão) a cada 30 dias, transparente para você ou seu serviço.
Além disso, se você precisar conceder permissões para o seu serviço se comunicar com o servidor de recursos (ServerB) na mesma floresta, você pode simplesmente editar as permissões de acesso no ServerB para conceder permissões de acesso à conta DOMAIN \ ServerA (lembre-se de que é a senha real para a conta ServerA \ NETWORK SERVICE) e, em seguida, todas as solicitações para o recurso no ServerB serão executadas usando as credenciais da conta DOMAIN \ ServerA.
Tudo isso dito, as Contas de Serviço Gerenciado no Windows 2008 (obrigado por apontar isso para Oskar) parecem ser uma maneira ainda melhor de lidar com as necessidades da conta de serviço!