Назад | Перейти на главную страницу

Accesschk: «Ошибка при перечислении прав учетной записи: доступ запрещен»

В настоящее время я устраняю проблему с установкой SQL 2008 R2 на Server 2012 R2 (не волнуйтесь, я знаю, что это EOL, это временно). У меня возникла проблема с установкой, из-за которой мне выдается ошибка «Доступ запрещен» и / или ошибка, указывающая, что имя пользователя и пароль для учетной записи агента SQL / службы SQL недействительны.

Я предполагаю, что проблема связана с настройками безопасности, которые я импортировал из объектов групповой политики DISA STIG (https://public.cyber.mil/stigs/gpo/). Я просмотрел различные настройки и пытаюсь устранить неполадки с политиками назначения прав пользователей.

Я убедился, что установлены следующие разрешения (от https://docs.microsoft.com/en-us/previous-versions/sql/sql-server-2008-r2/ms143504%28v%3dsql.105%29):

Я обнаружил следующие дополнительные разрешения и проверил их (на https://social.msdn.microsoft.com/Forums/en-US/e4ac077f-b0d3-4e02-a54a-c0328aeb222c/sql-sp3-install-fails-setup-account-privileges-failed?forum=sqlsetupandupgrade):

Несмотря на все это, SQL Server не устанавливается с учетной записью службы. Попытка использовать вместо этого сетевую службу дает

sql ошибка установки результат "-2061893608"

TL; DR:

Помимо предыстории, я нашел несколько сообщений на форуме, в которых рекомендуется использовать утилиту Accesschk.exe от SysInternals. Я заметил, что когда я запускаю его в общем accesschk.exe -a * Я получаю список разрешений и у каких групп они есть. Однако, если я запускаю инструмент для учетной записи accesschk.exe domain\user -a * Я получаю сообщение об ошибке:

Ошибка при перечислении прав учетной записи: доступ запрещен.

Та же самая команда, запущенная на более старом сервере, не имеет такой проблемы и успешно сообщает разрешения этого пользователя. Теперь я столкнулся с проблемой, когда инструмент, который я использую для устранения неполадок, также требует устранения неполадок. Два сервера получают разные объекты групповой политики и находятся на разных сайтах AD с разными контроллерами домена с разными объектами групповой политики.

Я еще не нашел в Интернете никакой информации об ошибке «доступ запрещен» в отношении инструмента accesschk и о том, что может ее вызывать. Я запускаю команду с той же учетной записью, которая имеет доступ к AD и права администратора на машине.

Бег whoami /priv успешно возвращает разрешения, как и secedit /export /mergedpolicy /areas USER_RIGHTS /cfg out.txt за это сообщение: https://superuser.com/questions/1065000/how-to-list-windows-privileges-for-any-user

У меня были подозрения относительно некорректной работы DC, поэтому в настоящее время я нахожусь в процессе понижения и повторного продвижения DC на новом сайте. Я скоро буду тестировать новый сервер в старых OU / GPO.

Все это сложно распаковать, но если кто-нибудь сможет хотя бы ответить на ошибку Accesschk, я был бы признателен. Бонусные баллы, если вы знаете, почему SQL не устанавливается.