Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Последствия удаления прав локального администратора  [new]
analysts
Member

Откуда: Gardinas
Сообщений: 139
Добрый день.
Коллеги очень нужна ваша помощь. В связи с политикой безопасности у меня хотят забрать права локального администратора (работаю не в ИТ). Для того чтобы избежать этой ситуации, мне необходимо написать обоснование почему они мне нужны. Я пользуюсь sql-server-ом установленном на локальной машине, компонентами SSIS и SSRS, BIDS, локальными БД и т.д. и т.п. Помогите мне составить список что у меня может перестать работать, если на машине пропадут административные права. Буду признателен за любые советы.

p.s. пока выяснил, что в случае если определенная служба не запустится, то я не смогу запустить её в services.msc.
19 мар 19, 17:20    [21837592]     Ответить | Цитировать Сообщить модератору
 Re: Последствия удаления прав локального администратора  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 6536
analysts,

Список прав, которые требуются для управления сервером, есть в документации. Права администратора нужны для выполнения некоторых действий в проекте VisualStudio. Если отобрать администратора и ничего не дать взамен, то управлять службами Вы не сможете.
19 мар 19, 17:58    [21837634]     Ответить | Цитировать Сообщить модератору
 Re: Последствия удаления прав локального администратора  [new]
L_argo
Member

Откуда:
Сообщений: 810
А по-моему чем меньше обязанностей, тем лучше. :)

Их можно подробно предупредить о последствиях, но сильно не настаивать.
А если отнимут права, то в случае чего - сразу посылать к безопасникам.

Это не ваш бизнес и не ваши риски. Так и передайте.
19 мар 19, 18:40    [21837671]     Ответить | Цитировать Сообщить модератору
 Re: Последствия удаления прав локального администратора  [new]
TaPaK
Member

Откуда: Kiev
Сообщений: 6378
живём без локальных админов со времён пети, не умерло ничего
19 мар 19, 18:43    [21837675]     Ответить | Цитировать Сообщить модератору
 Re: Последствия удаления прав локального администратора  [new]
Mind
Member

Откуда: Лучший город на Земле
Сообщений: 2263
L_argo
А по-моему чем меньше обязанностей, тем лучше. :)

Их можно подробно предупредить о последствиях, но сильно не настаивать.
А если отнимут права, то в случае чего - сразу посылать к безопасникам.

Это не ваш бизнес и не ваши риски. Так и передайте.
Ну да, если вдруг что-то встанет, а прав пофиксать нет, то можно пройти идти пить чай и наслаждаться жизнью :)
19 мар 19, 22:28    [21837846]     Ответить | Цитировать Сообщить модератору
 Re: Последствия удаления прав локального администратора  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 28735
Mind
Ну да, если вдруг что-то встанет, а прав пофиксать нет, то можно пройти идти пить чай и наслаждаться жизнью :)
Ну да, если именно за это платят зарплату, и от этого зависит карьерный рост, то именно так и делаем.
Вы же читаете форум, вон, у народа колом база встала, а они индекс не могут сделать.
Потому что за это могут пинком под зад с работы.

Похоже, вы не работали в Больших Корпорациях :-)
20 мар 19, 02:18    [21837936]     Ответить | Цитировать Сообщить модератору
 Re: Последствия удаления прав локального администратора  [new]
analysts
Member

Откуда: Gardinas
Сообщений: 139
Владислав Колосов
analysts,

Список прав, которые требуются для управления сервером, есть в документации. Права администратора нужны для выполнения некоторых действий в проекте VisualStudio. Если отобрать администратора и ничего не дать взамен, то управлять службами Вы не сможете.

Может подскажете где этот список взять? Беглый поиск не привел меня к успешному результату.


L_argo
А по-моему чем меньше обязанностей, тем лучше. :)

Их можно подробно предупредить о последствиях, но сильно не настаивать.
А если отнимут права, то в случае чего - сразу посылать к безопасникам.


Тут проблема в том, что безопасники и есть инициаторы всей этой кутерьмы. Ибо права локального администратора есть, а заявки на эти права нет (при переходе на 64-бит мне заменили машину и заявки полученные ранее утратили силу). Требуют обновленную заявку оформить.
20 мар 19, 10:14    [21838103]     Ответить | Цитировать Сообщить модератору
 Re: Последствия удаления прав локального администратора  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 6536
analysts,

вероятно, ищете не то и не там: https://habr.com/ru/post/75090/
20 мар 19, 11:57    [21838275]     Ответить | Цитировать Сообщить модератору
 Re: Последствия удаления прав локального администратора  [new]
Александр Спелицин
Member

Откуда: Из ближайшего подмосковья.
Сообщений: 2467
analysts
Тут проблема в том, что безопасники и есть инициаторы всей этой кутерьмы. Ибо права локального администратора есть, а заявки на эти права нет (при переходе на 64-бит мне заменили машину и заявки полученные ранее утратили силу). Требуют обновленную заявку оформить.

Ну так подайте заявку как делали в прошлый раз. Другое дело, это какова реальная необходимость в этих админских правах...
PS. Для запуска/остановки службы достаточно прав опытного пользователя (Power Users)
20 мар 19, 12:53    [21838370]     Ответить | Цитировать Сообщить модератору
 Re: Последствия удаления прав локального администратора  [new]
analysts
Member

Откуда: Gardinas
Сообщений: 139
Владислав Колосов
analysts,
вероятно, ищете не то и не там: https://habr.com/ru/post/75090/

Вероятно. Я ожидал найти "список" того, что не будет работать в sql-server без прав администратора.

Александр Спелицин
analysts
Тут проблема в том, что безопасники и есть инициаторы всей этой кутерьмы. Ибо права локального администратора есть, а заявки на эти права нет (при переходе на 64-бит мне заменили машину и заявки полученные ранее утратили силу). Требуют обновленную заявку оформить.

Ну так подайте заявку как делали в прошлый раз. Другое дело, это какова реальная необходимость в этих админских правах...
PS. Для запуска/остановки службы достаточно прав опытного пользователя (Power Users)

Я попытался так сделать, но от меня хотят конкретный список того что не будет работать при отсутствии административных прав.
20 мар 19, 13:54    [21838488]     Ответить | Цитировать Сообщить модератору
 Re: Последствия удаления прав локального администратора  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 6536
analysts,

В таком случае ищите статьи по требованиям настройки безопасности для установки и использования того или и иного приложения. Именно права _локального_администратора_ требуются не так часто.
20 мар 19, 14:04    [21838498]     Ответить | Цитировать Сообщить модератору
 Re: Последствия удаления прав локального администратора  [new]
analysts
Member

Откуда: Gardinas
Сообщений: 139
Владислав Колосов,

получается для sql-servera админские права вовсе не обязательны в рамках тех действий, которые я попытался описать выше (создание и поддержка локальных бд, очистка логов, развертывание проектов SSIS, загрузка и выгрузка данных из связанных серверов и т.п.)?
20 мар 19, 16:14    [21838698]     Ответить | Цитировать Сообщить модератору
 Re: Последствия удаления прав локального администратора  [new]
TaPaK
Member

Откуда: Kiev
Сообщений: 6378
analysts
Владислав Колосов,

получается для sql-servera админские права вовсе не обязательны в рамках тех действий, которые я попытался описать выше (создание и поддержка локальных бд, очистка логов, развертывание проектов SSIS, загрузка и выгрузка данных из связанных серверов и т.п.)?

Права более чем пользовательские на уровне системы, это только старты служб. В жизни конечно бывает острое желание перестартовывать локальный sql, но для этого можно и просто перезагрузиться.
Ну и желательно выносить локальные базы в каталог с полным доступом для локального пользователя
20 мар 19, 16:22    [21838704]     Ответить | Цитировать Сообщить модератору
 Re: Последствия удаления прав локального администратора  [new]
Mind
Member

Откуда: Лучший город на Земле
Сообщений: 2263
alexeyvg
Похоже, вы не работали в Больших Корпорациях :-)
Работал, и не поверите была очень похожая ситуация.
После апгрейда приложения сервер встал колом, цпу 100%. Быстрый анализ показал, что постоянно сканится огромная таблица, нужно индекс и все залетает с вероятностью в 99%. Клиент - нет, мы не можем просто добавить индекс, нужен аппрувал от вендора. Разработчики вендора сидят в другой стране и у них ночь. Нет, не в Индусятии - в России. Без разработчиков индекс создавать нельзя. Есть местное представительство, но там технарей нет, они сидят думаю что делать, при этом все продолжает висеть. В итоге наш клиент принимет решение - отрубить от базы 2 больницы, те что были пропатчены и из-за которых проблемы, чтобы все остальные смогли продолжить работать. И еще через пару часов местные представители вендора дают добро на TRUNCATE TABLE! Все это показалось им меньшим злом чем создать индекс.
Так что все это мне очень знакомо. При этом, пока все лежало, значительно безопаснее было бы пойти пить чай, чем принять решение создать индекс. Никто не хочет брать на себя ответсвенность за любые действия, а за бездействие в гос корпорациях не увольняют.
20 мар 19, 19:36    [21838915]     Ответить | Цитировать Сообщить модератору
 Re: Последствия удаления прав локального администратора  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 28735
analysts
получается для sql-servera админские права вовсе не обязательны в рамках тех действий, которые я попытался описать выше (создание и поддержка локальных бд, очистка логов, развертывание проектов SSIS, загрузка и выгрузка данных из связанных серверов и т.п.)?
Не нужны для всех действий, кроме "и т.п." :-)

Можно сделать список прав для всего списка действий, но, во первых, список действий должен быть исчерпывающий, во вторых, секюрити всё усложняется и усложняется, документация всё ухудшается и ухудшается, и нужно быть хорошим DBA и сисадмином, что бы всё это знать. При этом мы говорим о девелопере, а ведь даже "хороший DBA и сисадмин" в одном лице - большая редкость, что же говорить о трёх специальностях? Это уникумы, мы видим их лица в репоражах CNN о хайтеке.

Логично, что ваши сисадмины знают (и должны знать!) всё это на порядок лучшке вас, девелопера. Это вы должны попросить у них "обоснование почему они мне нужны", или "список прав, которые мне нужно получить, если я не буду локаладмином".

Но они то спрашивают у вас! Они, профессионалы, спрашивают у вас, по праву дилетанта!

Теперь вы понимаете всю сложность и многогранность вопроса, заданного вами на форуме, и невозможность ответить на него простым "вам нужны следующие права: 1...,2...,3...."?
20 мар 19, 20:32    [21838939]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить