基本上,我们有一个服务,我们使用本地帐户作为其登录名。它具有所有适当的权限,并且一切正常,服务启动并运行,一切都很好。然后有一天,重新启动后,服务无法启动。日志显示密码不正确。我们的技术人员只需在 services.msc 的“登录”选项卡中重新输入密码即可解决问题。不幸的是,我们无法找到根本原因。我怀疑存储的服务密码不知何故丢失了。有人知道密码哈希可能存储在哪里,以便我们检查它吗?似乎唯一可能相关的活动是使用 Microsoft 安全补丁进行修补,但我们有多台服务器运行相同的服务,我们从未见过一次超过一台,而且每次发生这种情况时通常都是不同的。
我相信这是同样的问题: Windows 服务无法以自定义用户启动,直到以本地用户启动一次 但我无法添加评论,而且它真的很旧了。
更新:我们已将此问题与“以服务身份登录”策略联系起来。该帐户以某种方式从此设置中删除。在服务控制台中重新输入密码会将该帐户重新添加到此策略中。我们现在需要任何关于如何找出帐户被删除的根本原因的建议。我们已启用“审核策略更改”,并设置为审核成功和失败。
答案1
对于那些仍在寻找答案的人。问题是你有一个策略,并且该帐户未设置为作为服务运行。当你重新输入密码时,它会授予该帐户作为服务运行权限。根据操作系统版本,您可以运行 gpresult /H文件名.html/F 并查看已应用的策略。然后将该帐户添加到授予服务帐户权限的组策略中。
答案2
我没有明确的解决办法,但一个简单的故障排除步骤是重新输入服务帐户的密码,应用,然后停止并重新启动服务。它应该可以正常启动。如果没有,那么在将哈希写入 SAM 时可能存在权限问题。您可以使用 ProcessMonitorhttp://sysinternals.com以帮助识别权限问题。
如果服务确实重新启动,而问题仅在一段时间或重新启动后出现,则表明密码正在更改。为此,您必须启用审核以查看密码何时/是否更改。