| Добро пожаловать в форум, Guest >> Войти | Регистрация | Поиск | Правила | | В избранное | Подписаться | ||
| Все форумы / Microsoft SQL Server |
  |
||
 Учётные записи и права у MSSQL
|
|
|
ZOOKABAKODER Member Откуда: Сообщений: 178 |
Друзья, объясните мне такую вещь. Я ставлю MSSQL 11.3000 default instance, прописываю учётки для SQL Database Engine и SQL Server Agent. Учётки доменные, сделаны заранее. Но не смотря на то, что я прописал учётки, SQL всёравно сделал "NT SERVICE\MSSQLSERVER" и "NT Service\SQLSERVERAGENT", мало того, дал им права на соответствующие папки. Объясните мне: это баг такой и учётки можно удалить? Или SQL без этих учёток может умереть? Можно SQL отучить эти учётки создавать, мож в ini что прописать? |
| 9 ноя 13, 13:26 [15102201] Ответить | Цитировать Сообщить модератору | |
| Re: Учётные записи и права у MSSQL
|
|
|
invm Member Откуда: Москва Сообщений: 9644 |
Это виртуальные учетные записи. Чем они мешают? |
| 9 ноя 13, 13:35 [15102216] Ответить | Цитировать Сообщить модератору | |
| Re: Учётные записи и права у MSSQL
|
|||||
|
ZOOKABAKODER Member Откуда: Сообщений: 178 |
Спасибо, капитан! :)
У них есть права на чтение и запись в папки с базами данных. Вообще накуя помойку-то разводить? |
||||
| 9 ноя 13, 13:40 [15102225] Ответить | Цитировать Сообщить модератору | |||||
| Re: Учётные записи и права у MSSQL
|
|||
|
invm Member Откуда: Москва Сообщений: 9644 |
|
||
| 9 ноя 13, 14:55 [15102327] Ответить | Цитировать Сообщить модератору | |||
| Re: Учётные записи и права у MSSQL
|
|||||
|
ZOOKABAKODER Member Откуда: Сообщений: 178 |
Опять спасибо, капитан! Почему создаётся этот акаунт? Или он не создаётся, а появляется в Windows с установкой любого сервиса. Или он не появляется, но я могу назначить в качестве имени аккаунта для сервиса "NT SERVICE\<имя_сервиса>", и он будет создан. У меня окошки 7, стоит MSSQL instance "SQL105", попробовал назначить ему акаунт "NT SERVICE\MSSQL$SQL105" получил фигу с номером 0x80041008. Спаси помоги, мил человек. PS: на всякий случай: http://weblogs.asp.net/owscott/archive/2010/04/21/managed-service-accounts-msa-and-virtual-accounts.aspx прочёл http://technet.microsoft.com/en-us/library/dd560633(v=ws.10).aspx прочёл http://technet.microsoft.com/en-us/library/ff641729(WS.10).aspx прочёл http://go.microsoft.com/fwlink/?LinkId=136545 прочёл |
||||
| 10 ноя 13, 00:14 [15103824] Ответить | Цитировать Сообщить модератору | |||||
| Re: Учётные записи и права у MSSQL
|
|
|
Просто вышел погулять :)
Guest |
Вы можете выключить эту учетку с помощью sc sidtype mssqlserver none Почитайте: http://superuser.com/questions/445279/allowing-only-a-specific-service-read-write-access-to-a-folder http://www.travisgan.com/2013/06/sql-server-service-account-and-per.html |
| 11 ноя 13, 09:50 [15106945] Ответить | Цитировать Сообщить модератору | |
| Re: Учётные записи и права у MSSQL
|
|
|
ZOOKABAKODER Member Откуда: Сообщений: 178 |
Просто вышел погулять :), 1. В описании этого параметра sc.exe сказано что жто работает только для сервисов работающих в режиме Win32. SQL у меня 11.300 x64. 2. С ключём "none" сказано, что SID удаляется из токена процесса. Я что-то совсем запутался, зачем удалять-то? Мне интересно откуда он в системе есть, этот SID. 3. Пробовал посмотреть, а вообще эти SID'ы есть для всех сервисов. Вопщем получилось, что есть.
Get-Service | Select-Object -Property Name, {New-Object Security.Principal.NTAccount("NT SERVICE\$($_.Name)") | % {$_.Translate([Security.Principal.SecurityIdentifier]).Value;}}
Короче я так и не могу понять, для каждого сервиса есть учёка в "NT SERVICE\*" сразу же после установки оного, или её надо включать/активировать/создавать? |
| 11 ноя 13, 17:02 [15110443] Ответить | Цитировать Сообщить модератору | |
| Re: Учётные записи и права у MSSQL
|
|
|
ZOOKABAKODER Member Откуда: Сообщений: 178 |
Если я правильно понял Travis Gan... До появления virtual accounts, у каждого сервиса был свой SID, и ему персонально можно было давать права. Начиная с Win7 и WinSrv2008R2 у этого сервиса ещё появился и virtual account: "NT SRVICE\<svc name>". И если мне надо дать доступ какому-то сервису, то достаточно дать доступ или его VAcc "NT SRVICE\<svc name>", или тому аккаунту, под которым сервис запущен. Ещё я так понял, что сервисный SID можно отключить. По умолчанию он у MS SQL сервисов включен. Однако, я вот посмотрел SID у своего 'MSSQL$SQL11EXPR' и обнаружил, что и
Get-Service 'MSSQL$SQL11EXPR' | % {New-Object Security.Principal.NTAccount("NT SERVICE\$($_.Name)")} | % {$_.Translate([Security.Principal.SecurityIdentifier]).Value};
и
sc.exe showsid 'MSSQL$SQL11EXPR'
дают одно и то же значение. Значит "NT SRVICE\<svc name>" это просто имя для старенького per-service-sid? Или per-service-sid это то же самое что "NT SRVICE\<svc name>" и до Win7 никакого SID у сервиса небыло? |
| 11 ноя 13, 18:13 [15111027] Ответить | Цитировать Сообщить модератору | |
| Между сообщениями интервал более 1 года. |
| Re: Учётные записи и права у MSSQL
|
|
|
SAS2014 Member Откуда: Сталинград Сообщений: 3020 |
А у меня такой вопрос пароли этих учеток "NT SERVICE\MSSQLSERVER" и "NT Service\SQLSERVERAGENT" от имени которых запускается службы sql servera, пароли они какие по умолчанию и как их можно сменить?????? |
| 19 окт 18, 07:30 [21708400] Ответить | Цитировать Сообщить модератору | |
| Re: Учётные записи и права у MSSQL
|
|
|
Владислав Колосов Member Откуда: Сообщений: 8340 |
SAS2014, учитесь пользоваться средствами поиска интернет... Я нашел за три минуты ответ: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff641729(v=ws.10) |
| 19 окт 18, 15:41 [21709276] Ответить | Цитировать Сообщить модератору | |
| Все форумы / Microsoft SQL Server | |
|
x