Назад | Перейти на главную страницу

Как управлять правом входа в систему в качестве службы для виртуальной учетной записи с учетом групповой политики домена?

Я хотел бы использовать настройку SQL Server по умолчанию, которая запускает службу SQL Server с виртуальной учетной записью NT SERVICE \ MSSQLSERVER. Это гарантирует, что мой SQL Server имеет ограниченный доступ на его собственном компьютере и не имеет доступа к сетевым ресурсам в случае взлома. Однако в нашем домене также есть групповая политика, которая устанавливает права входа в систему в качестве службы для нескольких других (домена).

Вы, наверное, уже догадались, а может быть, даже испытали мою проблему:

Когда объект групповой политики домена применяется к серверу (по крайней мере, ежедневно), он отменяет назначение прав «Вход в качестве службы», которое было выполнено с помощью установки SQL Server (или SQL Server Config Mgr, или другой конфигурации политики локального компьютера). Затем настраивается этап для ошибки «Служба не запущена» при следующем перезапуске службы SQL Server, что может произойти через несколько часов или месяцев.

Вот что я знаю на данный момент:

К сожалению, элемент «Назначение прав пользователя» находится в разделе «Параметры компьютера \ Параметры Windows \ Параметры безопасности \ Параметры локальной политики», потому что он не может ссылаться на учетные записи локального компьютера. Может, это вообще ошибка.

Вот подходы, которые я рассматриваю:

Есть ли у кого-нибудь другие предложения или рабочие решения, которые можно мне предложить?

В конечном итоге я сделал следующее: удалил объект групповой политики, который применял право входа в систему в качестве службы, и полагался на отдельные машины для предоставления права по мере необходимости при установке служб на этих машинах.

Это довольно саморегулирующееся решение, поскольку services.msc предоставит право на странице свойств при установке пароля учетной записи службы. И что-то эквивалентное, очевидно, происходит, когда вы устанавливаете приложения, которым требуется обслуживание.

Я вижу, что никто еще не ответил, поэтому я дам вам свои 2 цента.

Вот что я бы попробовал:

  1. Создайте новое подразделение под названием SQL Server.
  2. Переместите компьютерный объект SQL в это подразделение
  3. Создайте новый объект групповой политики с именем Вход в систему как услуга SQL
  4. Добавьте все из Политика домена по умолчанию
  5. Создайте управляемую учетную запись службы в Active Directory
  6. Добавьте управляемую учетную запись службы в список входа в систему в качестве службы

Вот пара ссылок, которые я нашел, которые также могут вам помочь:

Настройка учетных записей и разрешений служб Windows
Учетная запись службы SQL Server Права и привилегии Windows

Перейдите в свой GPO и добавьте "NT SERVICE \ ALL SERVICES". Это позволит запускать все учетные записи виртуальных служб.