如果我使用 service-account (SA1) 启动一个 Windows 服务,但是在服务代码中如果我想使用 gMSA 或 sMSA 访问网络中的某些外部服务,是否可能?
windows操作系统是否允许使用一个帐户旋转的进程(应用程序/服务)在网络调用过程中使用其他帐户完成NTLM或Kerberos身份验证?
如果我想使用 MSA,我相信不需要密码,但如果我想使用一些不同的用户帐户,服务将如何接收密码?
正在运行的线程的身份存储在线程令牌中。 您可以使用
LogonUserSetThreadTokenWindowsIdentity.RunImpersonated网络连接基于缓存的凭据。 模拟允许网络访问,但如果没有本地资源并且您对执行 ACL 检查不感兴趣,则可能没有必要。 对于“仅网络”访问,您可以使用
WNetAddConnection*net use ...正如您在有关 MSA 的其他问题中提到的,MSA 大多是普通帐户,并且确实有密码。 密码未加密地存储在 LDAP 中,并会不时自动更改。 然后,
msDS-ManagedPasswordLogonUserSERVICE_ACCOUNT_PASSWORDWNetAddConnection*