Attività di manutenzione account di accesso

  • Articolo

Questo argomento descrive i problemi relativi alle attività di manutenzione dell'account di accesso.

Esistono due problemi principali che riguardano le attività di manutenzione dell'account di accesso:

  • Aggiornamento della password dell'account per un'istanza del servizio eseguita con un account utente. Per altre informazioni, vedere Modifica della password nell'account utente di un servizio.
  • Gestione delle modifiche all'account di accesso di un'istanza del servizio.

Quest'ultimo è un caso raro, ma può accadere. Il sistema fornisce lo strumento amministrativo Gestione computer che consente di passare a un account di accesso al servizio. Inoltre, altre applicazioni possono usare la funzione ChangeServiceConfig per specificare un nuovo account di accesso per un servizio installato. Per impostazione predefinita, i privilegi di amministratore locale sono necessari per modificare un account del servizio. In questo caso, potrebbe influire sul servizio in due modi:

  • Se sono stati registrati nomi di entità servizio (SPN), questi verranno registrati nell'account errato.
  • Se si impostano gli ACL per concedere l'accesso al servizio, ora concedono l'accesso all'account errato.

Un approccio consiste nell'archiviare i nomi SPN registrati per ogni istanza del servizio nel Registro di sistema nel computer host. È possibile usare la stessa chiave del Registro di sistema in HKEY_LOCAL_MACHINE usata per archiviare la stringa di associazione per il servizio SCP. All'avvio del servizio, chiama la funzione QueryServiceConfig per determinare l'account di accesso e quindi esegue una query sul server Active Directory per determinare se i nomi SPN sono registrati nell'oggetto directory per tale account. Se i nomi SPN non sono registrati o sono registrati nell'account errato, il servizio rifiuta l'avvio e visualizza un messaggio che informa che un amministratore di dominio deve eseguire il programma di configurazione del servizio per aggiornare le impostazioni dell'account di accesso. Tenere presente che questa riconfigurazione deve essere completata da un amministratore perché l'account del servizio non deve avere accesso per aggiornare il proprio SPN. Tenere presente anche che i nomi SPN devono essere rimossi dall'account precedente. In caso contrario, i nomi SPN saranno inutili per l'autenticazione perché non sono univoci nella foresta.