Я хотел бы использовать настройку SQL Server по умолчанию, которая запускает службу SQL Server с виртуальной учетной записью NT SERVICE \ MSSQLSERVER. Это гарантирует, что мой SQL Server имеет ограниченный доступ на его собственном компьютере и не имеет доступа к сетевым ресурсам в случае взлома. Однако в нашем домене также есть групповая политика, которая устанавливает права входа в систему в качестве службы для нескольких других (домена).
Вы, вероятно, уже догадались или, может быть, даже столкнулись с моей проблемой:
Когда объект групповой политики домена применяется к серверу (по крайней мере, ежедневно), он отменяет назначение прав входа в качестве службы, которое было выполнено SQL Server. setup (или SQL Server Config Mgr, или другая конфигурация политики локального компьютера). Затем устанавливается этап ошибки «Служба не запущена» при следующем перезапуске службы SQL Server, что может произойти через несколько часов или месяцев.
Вот что я знаю на данный момент:
К сожалению, элемент «Назначение прав пользователя» находится в разделе «Настройки компьютера \ Настройки Windows \ Безопасность» Параметры \ Параметры локальной политики, поскольку он не может ссылаться на учетные записи локальных компьютеров. Возможно, это даже ошибка.
Вот подходы, которые я рассматриваю:
Кто-нибудь может предложить мне другие предложения или рабочие решения?
В конечном итоге я сделал следующее: удалил объект групповой политики, который применял право входа в систему в качестве службы, и полагался на отдельные машины для предоставления права по мере необходимости при установке служб на этих машинах.
Это - довольно саморегулирующееся решение, поскольку services.msc предоставит право на странице свойств при установке пароля учетной записи службы. И что-то подобное, очевидно, происходит, когда вы устанавливаете приложения, которым требуется обслуживание.
Я вижу, что никто еще не ответил, поэтому дам вам свои 2 цента.
Вот что я бы попробовал:
Вот пара ссылок, которые, как я обнаружил, также могут вам помочь:
Настройка учетных записей и разрешений служб Windows
Учетная запись службы SQL Server Права доступа Windows и права
Перейдите в свой GPO и добавьте «NT SERVICE \ ALL SERVICES». Это позволит запускать все учетные записи виртуальных служб.