Answers:
Will the service now fail to start, until you update the password?
是。这使第二个问题引起争议。
我通常会禁用“服务”帐户的密码到期时间,将它们设置为难以置信的复杂密码,并禁用其对每台计算机的登录权限,并以所需的权限将它们添加到本地计算机。
使用最近更改了帐户密码的域帐户的凭据运行的服务帐户仅在重新启动该服务时才会出现问题。由于尚未使用新密码更新服务器,因此在您使用正确的密码更新服务属性之前,您的服务将无法验证服务帐户凭据。
话虽如此,建议您将SERVER \ NETWORK SERVICE帐户用于需要域级别访问权限的服务。NETWORK SERVICE帐户实际上是一个别名帐户,它链接到Active Directory中的DOMAIN \ SERVERNAME目录对象。
例如 ServerA \ NETWORK SERVICE-> DOMAIN \ ServerA
假设您运行该服务的服务器是ServerA,而您的服务需要访问的资源是ServerB。通过配置服务以使用ServerA \ NETWORK SERVICE帐户,该帐户实际上将与DOMAIN \ ServerA帐户一起运行。这具有自动更改计算机密码的机制的另一个好处,该机制默认情况下每30天发生一次(对您或您的服务透明)。
另外,如果您需要授予服务权限以与同一林中的资源服务器(ServerB)通信,则可以简单地在ServerB上编辑访问权限以向DOMAIN \ ServerA帐户授予访问权限(请记住,这是实际的ServerA \ NETWORK SERVICE帐户的帐户),然后将使用DOMAIN \ ServerA帐户的凭据执行对ServerB上资源的所有请求。
综上所述,Windows 2008中的托管服务帐户(感谢您指出Oskar)似乎是处理服务帐户需求的更好方法!