我有一个正在运行的服务,使用 AD 中的服务帐户的登录用户凭据。
如果我在 AD 用户和组中更改服务帐户密码,但没有在服务启动/登录详细信息中更改,服务是否仍会运行?还是仅在服务启动期间检查密码?
或者该服务是否需要每隔 x 小时登录到域控制器一次?
更新-我正在使用 Windows 身份验证通过网络在两台运行 WCF 服务的机器之间进行通信。
答案1
这取决于服务。如果服务不定期访问网络资源(例如网络文件共享),而只在本地计算机上执行操作,那么即使您在 Active Directory 中更改服务帐户的密码也无济于事。服务将无限期地继续运行直到该服务最终重新启动或计算机重新启动。
当服务最终重新启动时,它将尝试登录到域,如果 Windows 服务没有相应更新,则会遇到登录失败。
但是,如果 Windows 服务确实执行网络操作,那么它至少每 10 小时需要一张新的 Kerberos 票证(此时服务将要需要知道其当前密码,否则它将无法访问这些网络资源,并且服务将死亡或开始将错误事件放入事件日志中,具体取决于它是什么服务。