Tâches de maintenance du compte de connexion

Cette rubrique décrit les problèmes liés aux tâches de maintenance de compte d’ouverture de session.

Il existe deux problèmes principaux qui concernent les tâches de maintenance de compte d’ouverture de session :

Ce dernier cas est rare, mais peut se produire. Le système fournit l’outil d’administration Gestion de l’ordinateur qui permet de modifier un compte d’ouverture de session de service. En outre, d’autres applications peuvent utiliser la fonction ChangeServiceConfig pour spécifier un nouveau compte d’ouverture de session pour un service installé. Par défaut, des privilèges d’administrateur local sont requis pour modifier un compte de service. Si cela se produit, cela peut affecter votre service de deux manières :

  • Si vous avez inscrit des noms de principaux de service (SPN), ils seront inscrits sur le compte incorrect.
  • Si vous définissez les AE pour accorder l’accès au service, ils accordent désormais l’accès au compte incorrect.

L’une des approches consiste à demander au programme d’installation de service de stocker les noms de service inscrits pour chaque instance de service dans le Registre sur l’ordinateur hôte. Vous pouvez utiliser la même clé de Registre sous HKEY_LOCAL_MACHINE que vous avez utilisée pour stocker la chaîne de liaison pour le service SCP. Lorsque le service démarre, il appelle la fonction QueryServiceConfig pour déterminer son compte d’ouverture de session, puis interroge le serveur Active Directory pour déterminer si les NOMS de service sont inscrits sur l’objet d’annuaire pour ce compte. Si les SPN ne sont pas inscrits ou sont inscrits sur le mauvais compte, le service refuse de démarrer et affiche un message indiquant qu’un administrateur de domaine doit exécuter le programme de configuration du service pour mettre à jour les paramètres du compte d’ouverture de session. N’oubliez pas que cette reconfiguration doit être effectuée par un administrateur, car le compte de service ne doit pas avoir accès à la mise à jour de son propre SPN. N’oubliez pas également que les noms de service doivent être supprimés de l’ancien compte, sinon, ils ne seront pas utiles pour l’authentification, car ils ne sont pas uniques dans la forêt.