Как правильно управлять входом в систему как службой виртуальная учетная запись перед политикой группы домена?
Я хотел бы использовать настройку SQL Server по умолчанию, которая запускает службу SQL Server с виртуальной учетной записью NT SERVICE \ MSSQLSERVER. Это гарантирует, что мой SQL Server имеет ограниченный доступ на его собственном компьютере и не имеет доступа к сетевым ресурсам в случае взлома. Однако в нашем домене также есть групповая политика, которая устанавливает права входа в систему в качестве службы для нескольких других (домена).
Вы, вероятно, уже догадались или, может быть, даже столкнулись с моей проблемой:
Когда объект групповой политики домена применяется к серверу (по крайней мере, ежедневно), он отменяет назначение прав входа в качестве службы, которое было выполнено SQL Server. setup (или SQL Server Config Mgr, или другая конфигурация политики локального компьютера). Затем устанавливается этап ошибки «Служба не запущена» при следующем перезапуске службы SQL Server, что может произойти через несколько часов или месяцев.
Вот что я знаю на данный момент:
- Я не могу добавить виртуальный учетной записи в GPO домена, потому что это локальный SID компьютера.
- Групповая политика домена переопределяет групповую политику локального компьютера, поэтому мне нужно что-то сделать с групповой политикой домена.
К сожалению, элемент «Назначение прав пользователя» находится в разделе «Настройки компьютера \ Настройки Windows \ Безопасность» Параметры \ Параметры локальной политики, поскольку он не может ссылаться на учетные записи локальных компьютеров. Возможно, это даже ошибка.
Вот подходы, которые я рассматриваю:
- Я мог бы удалить элемент GPO домена, который применяет Logon As A Право на обслуживание и выполните эту операцию через локальную групповую политику (на куча серверов).
- Я мог бы переместить сервер в подразделение, которое не применить этот элемент GPO. В настоящее время оскорбительным объектом групповой политики является мой политика домена по умолчанию, поэтому мне пришлось бы что-то реорганизовать.
- Я мог бы запустить какой-нибудь инструмент на каждом компьютере с SQL Server, чтобы восстановить Войдите в систему как служба сразу после запуска групповой политики домена или достаточно часто, чтобы меня редко ловили.
Кто-нибудь может предложить мне другие предложения или рабочие решения?
В конечном итоге я сделал следующее: удалил объект групповой политики, который применял право входа в систему в качестве службы, и полагался на отдельные машины для предоставления права по мере необходимости при установке служб на этих машинах.
Это - довольно саморегулирующееся решение, поскольку services.msc предоставит право на странице свойств при установке пароля учетной записи службы. И что-то подобное, очевидно, происходит, когда вы устанавливаете приложения, которым требуется обслуживание.
Я вижу, что никто еще не ответил, поэтому дам вам свои 2 цента.
Вот что я бы попробовал:
- Создайте новое подразделение под названием SQL Server
- Переместите объект компьютера SQL в это подразделение
- Создайте новый объект групповой политики с именем SQL Logon As A Service
- Добавьте все из политики домена по умолчанию
- Создайте учетную запись управляемой службы в Active Directory
- Добавьте управляемую учетную запись службы в список «Вход в систему в качестве службы»
Вот пара ссылок, которые, как я обнаружил, также могут вам помочь:
Настройка учетных записей и разрешений служб Windows
Учетная запись службы SQL Server Права доступа Windows и права
Перейдите в свой GPO и добавьте «NT SERVICE \ ALL SERVICES». Это позволит запускать все учетные записи виртуальных служб.