服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 面对域组策略,如何作为虚拟账户的服务权限login?
Intereting Posts
Ruby进程显示高cpu活动 Hyper V屏幕分辨率太小 你如何在服务器上设置默认的IRC频道? Ubuntu 14.04 – 由于语言环境,未find命令崩溃 Nginx +邮件开放端口漏洞 有关rsnapshotconfiguration的问题 Windows Server 2003 – terminal服务器login SUSE – 安装PHP APC Exchange集线器传输规则忽略本地NDR报告 如何在不重新安装实例的情况下移动SQL Server 2005实例“根目录”? PostgreSQL root.crt不加载 任何提示升级postgres 8.2至8.4? 通过libvirt设置KVM虚拟机的启动顺序? DNSparsing回退到NS 为MS SQL提供审计方法,以跟踪特定用户对特定表所做的更改?

面对域组策略,如何作为虚拟账户的服务权限login?

我想使用虚拟帐户NT SERVICE \ MSSQLSERVER运行SQL Server服务的默认SQL Server安装程序。 这可以确保我的SQL Server在自己的机器上具有有限的访问权限,并且如果应该被黑客攻击,则不能访问networking资源。 但是,我们的域也有一个组策略,为其他几个(域)设置“login为服务”权限。

你可能已经猜到,或者甚至是经历过我的问题:

将域GPO应用于服务器(至less每天)时,它将撤消由SQL Server安装程序(或SQL Serverconfigurationpipe理器或其他本地计算机策略configuration)完成的“login为服务”权限分配。 然后在下一次SQL Server服务重新启动时(这可能是几个小时或几个月后),将阶段设置为错误“服务未启动”错误。

以下是我所知道的:

  • 我无法将虚拟帐户添加到域GPO,因为它是机器本地SID。
  • 域组策略会覆盖本地机器组策略,所以我将不得不对域组策略做些事情。

“用户权限分配”元素位于“计算机设置\ Windows设置\安全设置\本地策略设置”下,因此无法引用本地计算机帐户, 也许这是一个错误。

以下是我正在考虑的方法:

  • 我可以删除应用login为服务的域GPO元素,并通过本地组策略(在一堆服务器上)执行此操作。
  • 我可以将服务器移到没有应用此GPO元素的OU中。 目前违规的GPO是我的默认域策略,所以我不得不重构一些东西。
  • 我可以在每台SQL Server计算机上运行一些工具,以便在域组策略运行之后重新build立“login即服务”权限,或者频繁地发生,以致于很less被发现。

有没有人有其他的build议或工作解决scheme给我?

我看到没有人回答,所以我给你2分钱。

这是我想我会尝试的:

  1. 创build一个名为SQL Servers的新OU
  2. 将SQL计算机对象移到该OU
  3. 创build一个名为“ SQLlogin为服务”的新GPO
  4. 添加默认域策略中的所有内容
  5. 在Active Directory中创build一个托pipe的服务帐户
  6. 将pipe理的服务帐户添加到login为服务列表

这里有几个链接,我发现,也可以帮助你:

configurationWindows服务帐户和权限
SQL Server服务帐户Windows权限和权限