回答:
さらに、Windows Server 2008 R2(およびWindows 7)には、パスワードを管理する新しい(または2つの)サービスアカウントタイプ(管理されたサービスアカウント)があります。
Will the service now fail to start, until you update the password?
はい。これは、2番目の質問を無効にします。
私は通常、「サービス」アカウントのパスワードの有効期限を無効にし、信じられないほど複雑なパスワードに設定し、すべての単一マシンへのログオン権限を無効にして、必要な権限でローカルマシンに追加します。
最近アカウントパスワードを変更したドメインアカウントの資格情報を使用して実行しているサービスアカウントは、そのサービスの再起動中にのみ問題が発生します。サーバーは新しいパスワードで更新されていないため、サービスのプロパティを正しいパスワードで更新するまで、サービスはサービスアカウントの認証情報を認証できません。
つまり、ドメインレベルのアクセスを必要とするサービスには、SERVER \ NETWORK SERVICEアカウントを使用することをお勧めします。NETWORK SERVICEアカウントは、実際にはActive DirectoryのDOMAIN \ SERVERNAMEディレクトリオブジェクトにリンクするエイリアスアカウントです。
例。ServerA \ NETWORK SERVICE-> DOMAIN \ ServerA
サービスを実行しているサーバーがServerAであり、サービスがアクセスする必要があるリソースがServerBであるとします。ServerA \ NETWORK SERVICEアカウントを使用するようにサービスを構成すると、DOMAIN \ ServerAアカウントで実際に実行されます。これには、30日ごとに(デフォルトで)実行される自動コンピューターパスワード変更メカニズムの追加の利点があり、ユーザーまたはサービスに対して透過的です。
また、サービスが同じフォレスト内のリソースサーバー(ServerB)と通信するためのアクセス許可を付与する必要がある場合は、ServerBのアクセス許可を編集して、DOMAIN \ ServerAアカウントにアクセス許可を付与することができます(実際のアカウントであることを忘れないでください) ServerA \ NETWORK SERVICEアカウントのアカウント)、ServerB上のリソースへのすべての要求は、DOMAIN \ ServerAアカウントの資格情報を使用して実行されます。
そうは言っても、Windows 2008の管理されたサービスアカウント(Oskarを指摘してくれてありがとう)は、サービスアカウントのニーズを処理するためのさらに優れた方法のようです!