Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Какие возражения могут быть против System Account?  [new]
nibbles
Member

Откуда: Moscow
Сообщений: 2378
Накатываем SQL server 2000. Возник вопрос: какие плюсы и минусы в использовании "нормальной" учетной записи и учетной записи System Account?
1 июн 04, 12:31    [713350]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
paparome
Member

Откуда: Москва
Сообщений: 4312
System Account - не будет доступа к сетевым ресурсам
1 июн 04, 12:35    [713364]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
tpg
Member

Откуда: Novosibirsk
Сообщений: 23902
автор
System Account - не будет доступа к сетевым ресурсам

От чего же? А если там AD есть? Он рулит пермишины в сети и на компы.
1 июн 04, 12:36    [713374]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
paparome
Member

Откуда: Москва
Сообщений: 4312
Тогда СУПЕР, но об этом еще и помнить надо :)

Все - молчу, молчу :)
1 июн 04, 12:37    [713379]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
GreenSunrise
Member

Откуда:
Сообщений: 12310
От чего же? А если там AD есть? Он рулит пермишины в сети и на компы
По умолчанию Local System Account прав в сети не имеет. Конечно, если вы компьютерному аккаунту начнете права на другие машины давать... Можно его и в администраторы домена записать, кто ж спорит...

Вопрос только - а оно надо? Почему не создать отдельный аккаунт для запуска служб MSSQLSERVER и SQLSERVERAGENT (или даже два разных), наделив их соответствующими правами. Так гораздо понятнее будет для администрирования.
1 июн 04, 12:49    [713420]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
tpg
Member

Откуда: Novosibirsk
Сообщений: 23902
автор
Вопрос только - а оно надо? Почему не создать отдельный аккаунт для запуска служб MSSQLSERVER и SQLSERVERAGENT (или даже два разных), наделив их соответствующими правами. Так гораздо понятнее будет для администрирования.

Полностью согласен - так и делаем.
Просто, хотелось "чистоты" ответа. :)
1 июн 04, 12:51    [713428]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
segun
Member

Откуда: Москва
Сообщений: 504
плюс с точки зрения безопасности это более надежный вариант
1 июн 04, 12:57    [713448]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
Crimean
Member

Откуда:
Сообщений: 13148
Два акаунта будет лучше. Один для сервера, второй - для агента. У меня после такого разделения пропали траблы с SQL Mail через Outlook 2000 SR1.
1 июн 04, 13:11    [713498]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
nibbles
Member

Откуда: Moscow
Сообщений: 2378
А кроме невозможности использовать сетевые ресурсы без специальной настройки другие "минусы" у System Account есть?
1 июн 04, 13:21    [713535]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
Александр Спелицин
Member

Откуда: Из ближайшего подмосковья.
Сообщений: 2506
Есть еще один момент - отладка хранимых процедур.
Для работы отладчика - обязательное требование, чтобы MSSQL был запущен под учетной записью с административными правами. LocalSystem тут не подходит.

Т.е. для разработки - однозначно нормальная учетная запись с административными правами. Для промышленной эксплуатации - тут нужно все взвесить. Как Вы знаете, LocalSystem также имеет административные права на локальную машину. И если DBA очень обиделся на фирму, то через xp_cmdshell он может много чего сделать, например создать пользователя... :-).
1 июн 04, 13:31    [713575]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
paparome
Member

Откуда: Москва
Сообщений: 4312
SQL Mail не сможешь использовать - это уж (ИМХО) ни какими фокусами не обходится.
1 июн 04, 13:32    [713580]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
nibbles
Member

Откуда: Moscow
Сообщений: 2378
Резюмируя:

1. Нет доступа к ресурсам сети без настройки
2. Проблемы с настройкой SQL Mail
3. Трудности с отладкой процедур

И это все? :-\
1 июн 04, 23:25    [715116]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
Александр Спелицин
Member

Откуда: Из ближайшего подмосковья.
Сообщений: 2506
Ну и еще дыра в безопасности. Если хакер проатакует сервак и вдруг заставит последний выполнять какой-либо гадский код (например через переполнение буфера), то этот код будет выполняться от имени операционной системы, имеющей полные права на локальный комп. Ну про xp_cmdshell тоже не забываем :).
2 июн 04, 00:47    [715166]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
nibbles
Member

Откуда: Moscow
Сообщений: 2378
Итого, четыре. Народ, я правильно понимаю? Ну, тогда это обходится просто:

1. Нет доступа к ресурсам сети. Бекап делается на ленту (что обычно и проделывают)

2. Проблемы с настройкой SQLMail. Сервак, о котором идет речь, всегда на виду, разработка на нем еще ведется, так что автономно без пригляду больше двух-трех дней он не работает.

3. Трудности с отладкой ХП. Есть боевой сервер, а есть тестовый сервер (а у желающих - и по собственному инстансу)

4. Дыра в безопасности. ИМХО безопасность серваков должна обеспечиваться безопасностью сети в целом по отношению к внешнему супостату, а не защитой отдельных РС (а выполнение xp_cmdshell с правами "нормальной" учетной записи последствий иметь не будет?)
2 июн 04, 09:27    [715460]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
VistorG
Guest
А про проблему запуска MSAgent Вы не забыли?
3 июн 04, 08:49    [718099]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
Copyright
Member

Откуда: Volgograd=>Moscow=>Volgograd
Сообщений: 1049
>VistorG
>А про проблему запуска MSAgent Вы не забыли?

Очень ценное замечание...
ИМНО - Сервисы сервера должны иметь права администратора(минимум локального, максимум доменного), чтоб не заниматься выяснением вопросов типа - а почему не работает как должен

P.S Правильно сервис называется SQLSERVERAGENT...
Copyright мо
3 июн 04, 09:10    [718148]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
paparome
Member

Откуда: Москва
Сообщений: 4312
автор
Сервисы сервера должны иметь права администратора

Где это вы такое взяди?
Из под доменного админа - это, вообще, пробоина от снаряда в безопасности - уж лучше (ИМХО) System
3 июн 04, 09:48    [718245]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
Glory
Member

Откуда:
Сообщений: 104760
а выполнение xp_cmdshell с правами "нормальной" учетной записи последствий иметь не будет?)
Для "нормальной" учетной записи как раз и можно задать необходимый набор прав доступа на локальной машине. В отличии от Localsystem.
3 июн 04, 10:11    [718324]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
iSestrin
Member

Откуда: Новосибирск
Сообщений: 3811
>Для "нормальной" учетной записи как раз и можно задать необходимый набор прав доступа на локальной машине. В отличии от Localsystem.<

можно-можно, локально это "пользователь" system, удаленно - копьютер
т.е. по сути пользователь аналогичный "нормальным", которого можно прописать везде, где раздаются права, в данном случае в нтфс ... разница в том, что у "нормальных" эти права по дефолту отсутствуют (наследуются), а у system присутствуют, но это уже так в сетапе винды заложено
3 июн 04, 11:16    [718567]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
GreenSunrise
Member

Откуда:
Сообщений: 12310
Под local system'ом обычно запускается бОльшая часть сервисов в системе. Отрубите права, по-вашему, лишние для SQL, а получится, что нарушите работу совершенно постороних сервисов.

А с доменным пользователем можно извращаться сколько угодно - завел отдельного и балуйся. Никто не пострадает.
3 июн 04, 11:26    [718612]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
Glory
Member

Откуда:
Сообщений: 104760
можно-можно, локально это "пользователь" system,
Ага. Только под этим акаунтом работать будет не только SQL. Попробуйте ка отобрать у него права на все каталоги кроме тех где размещены файлы MSSQL.
3 июн 04, 11:26    [718615]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
iSestrin
Member

Откуда: Новосибирск
Сообщений: 3811
ребятки, я возражал только против утверждения, что локлситему нельзя раздать права, с остальным я совершенно согласен
3 июн 04, 11:29    [718632]     Ответить | Цитировать Сообщить модератору
 Нельзя ли поподробнее ?  [new]
Oleg F
Guest
Тут было сказано, что если MSSQL работает под acount-ом Local System, то какие-то трудности с отладкой хранимых процедур в каком-то отладчике возникают. Нельзя ли поподробнее, в каком именно отладчике и какие трудности ? А то уже больше 6-ти лет с разными версиями SQL-сервера работаем (группа разработчиков), множество хранимых процедур разработали и триггеров и ничего про это не знаем. И все наши SQL-сервера по Local System прекрасно работают. Правда для SQL-Agent-а создали отдельный account c правами, т.к. он резервные копии по сети на другие сервера копирует.
3 июн 04, 12:45    [718974]     Ответить | Цитировать Сообщить модератору
 Re: Какие возражения могут быть против System Account?  [new]
nibbles
Member

Откуда: Moscow
Сообщений: 2378
2Glory

Достаточно ли для учетной записи находиться в группе локальных администраторов компьютера (бекап идет на ленту, сетевые ресурсы из хранимых процедур не используются)?
3 июн 04, 13:53    [719311]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить