Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Учётные записи и права у MSSQL  [new]
ZOOKABAKODER
Member

Откуда:
Сообщений: 178
Друзья, объясните мне такую вещь.
Я ставлю MSSQL 11.3000 default instance, прописываю учётки для SQL Database Engine и SQL Server Agent. Учётки доменные, сделаны заранее.
Но не смотря на то, что я прописал учётки, SQL всёравно сделал "NT SERVICE\MSSQLSERVER" и "NT Service\SQLSERVERAGENT", мало того, дал им права на соответствующие папки.
Объясните мне: это баг такой и учётки можно удалить? Или SQL без этих учёток может умереть? Можно SQL отучить эти учётки создавать, мож в ini что прописать?
9 ноя 13, 13:26    [15102201]     Ответить | Цитировать Сообщить модератору
 Re: Учётные записи и права у MSSQL  [new]
invm
Member

Откуда: Москва
Сообщений: 9279
Это виртуальные учетные записи. Чем они мешают?
9 ноя 13, 13:35    [15102216]     Ответить | Цитировать Сообщить модератору
 Re: Учётные записи и права у MSSQL  [new]
ZOOKABAKODER
Member

Откуда:
Сообщений: 178
invm
Это виртуальные учетные записи.

Спасибо, капитан! :)

invm
Чем они мешают?

У них есть права на чтение и запись в папки с базами данных.
Вообще накуя помойку-то разводить?
9 ноя 13, 13:40    [15102225]     Ответить | Цитировать Сообщить модератору
 Re: Учётные записи и права у MSSQL  [new]
invm
Member

Откуда: Москва
Сообщений: 9279
ZOOKABAKODER
Вообще накуя помойку-то разводить?
Configure Windows Service Accounts and Permissions
9 ноя 13, 14:55    [15102327]     Ответить | Цитировать Сообщить модератору
 Re: Учётные записи и права у MSSQL  [new]
ZOOKABAKODER
Member

Откуда:
Сообщений: 178
invm
ZOOKABAKODER
Вообще накуя помойку-то разводить?
Configure Windows Service Accounts and Permissions

Опять спасибо, капитан!
Почему создаётся этот акаунт? Или он не создаётся, а появляется в Windows с установкой любого сервиса. Или он не появляется, но я могу назначить в качестве имени аккаунта для сервиса "NT SERVICE\<имя_сервиса>", и он будет создан. У меня окошки 7, стоит MSSQL instance "SQL105", попробовал назначить ему акаунт "NT SERVICE\MSSQL$SQL105" получил фигу с номером 0x80041008. Спаси помоги, мил человек.

PS: на всякий случай:
http://weblogs.asp.net/owscott/archive/2010/04/21/managed-service-accounts-msa-and-virtual-accounts.aspx прочёл
http://technet.microsoft.com/en-us/library/dd560633(v=ws.10).aspx прочёл
http://technet.microsoft.com/en-us/library/ff641729(WS.10).aspx прочёл
http://go.microsoft.com/fwlink/?LinkId=136545 прочёл
10 ноя 13, 00:14    [15103824]     Ответить | Цитировать Сообщить модератору
 Re: Учётные записи и права у MSSQL  [new]
Просто вышел погулять :)
Guest
Вы можете выключить эту учетку с помощью
sc sidtype mssqlserver none

Почитайте:
http://superuser.com/questions/445279/allowing-only-a-specific-service-read-write-access-to-a-folder
http://www.travisgan.com/2013/06/sql-server-service-account-and-per.html
11 ноя 13, 09:50    [15106945]     Ответить | Цитировать Сообщить модератору
 Re: Учётные записи и права у MSSQL  [new]
ZOOKABAKODER
Member

Откуда:
Сообщений: 178
Просто вышел погулять :),

1. В описании этого параметра sc.exe сказано что жто работает только для сервисов работающих в режиме Win32. SQL у меня 11.300 x64.
2. С ключём "none" сказано, что SID удаляется из токена процесса. Я что-то совсем запутался, зачем удалять-то? Мне интересно откуда он в системе есть, этот SID.

3. Пробовал посмотреть, а вообще эти SID'ы есть для всех сервисов. Вопщем получилось, что есть.
Get-Service | Select-Object -Property Name, {New-Object Security.Principal.NTAccount("NT SERVICE\$($_.Name)") | % {$_.Translate([Security.Principal.SecurityIdentifier]).Value;}}

Короче я так и не могу понять, для каждого сервиса есть учёка в "NT SERVICE\*" сразу же после установки оного, или её надо включать/активировать/создавать?
11 ноя 13, 17:02    [15110443]     Ответить | Цитировать Сообщить модератору
 Re: Учётные записи и права у MSSQL  [new]
ZOOKABAKODER
Member

Откуда:
Сообщений: 178
Если я правильно понял Travis Gan... До появления virtual accounts, у каждого сервиса был свой SID, и ему персонально можно было давать права. Начиная с Win7 и WinSrv2008R2 у этого сервиса ещё появился и virtual account: "NT SRVICE\<svc name>". И если мне надо дать доступ какому-то сервису, то достаточно дать доступ или его VAcc "NT SRVICE\<svc name>", или тому аккаунту, под которым сервис запущен.
Ещё я так понял, что сервисный SID можно отключить. По умолчанию он у MS SQL сервисов включен.
Однако, я вот посмотрел SID у своего 'MSSQL$SQL11EXPR' и обнаружил, что и
Get-Service 'MSSQL$SQL11EXPR' | % {New-Object Security.Principal.NTAccount("NT SERVICE\$($_.Name)")} | % {$_.Translate([Security.Principal.SecurityIdentifier]).Value};

и
sc.exe showsid 'MSSQL$SQL11EXPR'

дают одно и то же значение. Значит "NT SRVICE\<svc name>" это просто имя для старенького per-service-sid? Или per-service-sid это то же самое что "NT SRVICE\<svc name>" и до Win7 никакого SID у сервиса небыло?
11 ноя 13, 18:13    [15111027]     Ответить | Цитировать Сообщить модератору
Между сообщениями интервал более 1 года.
 Re: Учётные записи и права у MSSQL  [new]
SAS2014
Member

Откуда: Сталинград
Сообщений: 2958
А у меня такой вопрос пароли этих учеток "NT SERVICE\MSSQLSERVER" и "NT Service\SQLSERVERAGENT" от имени которых запускается службы sql servera, пароли они какие по умолчанию и как их можно сменить??????
19 окт 18, 07:30    [21708400]     Ответить | Цитировать Сообщить модератору
 Re: Учётные записи и права у MSSQL  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7663
SAS2014,

учитесь пользоваться средствами поиска интернет... Я нашел за три минуты ответ:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff641729(v=ws.10)
19 окт 18, 15:41    [21709276]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить