我在一组应用程序服务器上安装了应用程序的许多实例,这些服务器由一个 IIS 站点(.NET 应用程序)、一个 Windows 服务和一个托管在单独的 SQL 服务器上的 SQL 数据库(每个实例都有自己的数据库)组成。
每个应用程序实例都有自己的域用户,用于运行应用程序池和 Windows 服务,并且仅具有在正确的服务器上运行和访问其数据库所需的权限。我正在考虑实施组托管服务帐户 (gMSA),这样这些帐户的密码就不需要存储和保存在任何地方,而且它们会不时自动重置,而无需额外的管理工作或应用程序停机。
这个概念听起来很美,而且根据我所读到的所有内容,它看起来非常合适,但是,我真的不明白会发生什么,然后 AD 会自动重置密码。据我了解,每次使用 gMSA 配置的服务或应用程序池或 Windows 任务在安装了 gMSA 的服务器上启动时,服务器都会请求当前密码并使用它来启动该过程。当服务长时间未重新启动时,这对网络资源访问意味着什么?当通过密码重置运行的服务尝试连接到数据库(在单独的 SQL Server 上,gMSA 未安装但已被授予对数据库的读/写权限)或访问网络共享上的文件等时会发生什么?
有知识/经验的人可以解释一下吗?这些帐户真的免维护吗?我们是否可以只配置它们,启动所有内容,然后忘掉它?