web-dev-qa-db-ja.com

ドメイングループポリシーに直面して仮想アカウントのサービスとしてのログオン権限を管理する方法

仮想アカウントNT SERVICE\MSSQLSERVERでSQL Serverサービスを実行するデフォルトのSQL Serverセットアップを使用したいと思います。これにより、SQL Serverは自分のマシンへのアクセスが制限され、ハッキングされた場合にネットワークリソースにアクセスできなくなります。ただし、このドメインには、他のいくつかの(ドメイン)に対するサービスとしてのログオン権限を設定するグループポリシーもあります。

あなたはおそらく私の問題をすでに推測しているか、あるいは経験しているかもしれません:

ドメインGPO=がサーバーに適用されると(少なくとも毎日)、SQL Serverセットアップ(またはSQL Server Config Mgr、またはその他のローカル)によって行われたサービスとしてのログオンの割り当てが取り消されます次に、SQL Serverサービスが再起動されたときに、「サービスは開始されませんでした」というエラーがステージに設定されます。

これが私がこれまでに知っていることです:

  • ドメインに仮想アカウントを追加できないGPOこれは、マシンのローカルSIDであるためです。
  • ドメイングループポリシーはローカルマシンのグループポリシーを上書きするので、ドメイングループポリシーについて何かする必要があります。

ローカルコンピューターアカウントを参照できないため、ユーザー権利の割り当て要素はコンピューターの設定\ Windowsの設定\セキュリティの設定\ローカルポリシーの設定の下にあります。多分それはバグです。

ここに私が検討しているアプローチがあります:

  • ドメインGPO要素を削除し、ローカルサーバーのグループポリシーを介してこの操作を実行できます(多数のサーバー上))。
  • このGPO要素が適用されていないOUにサーバーを移動することができます。現在問題のあるGPOは私のデフォルトのドメインポリシーであるため、物事をリファクタリングする。
  • 各SQL Serverマシンでいくつかのツールを実行して、ドメイングループポリシーが実行された直後、またはめったに見つからないほど頻繁に、サービスとしてログオンを再確立できます。

誰かが私に提供する他の提案や実用的な解決策を持っていますか?

3
Bob Hyman

最終的に私がやったことは、サービスとしてログオンを適用したGPOを削除し、個々のマシンに依存して、それらのマシンにサービスをインストールするときに必要に応じて権限を付与することでした。

サービスアカウントのパスワードを設定すると、services.mscがプロパティページから権限を付与するため、これはかなり自己規制ソリューションです。そして、サービスを必要とするアプリケーションをインストールすると、同等のことが明らかに発生します。

0
Bob Hyman

まだ誰も答えていないようですので、2セント差し上げます。

これが私が試してみると思うことです:

  1. SQL Serversという新しいOUを作成する
  2. SQLコンピューターオブジェクトをそのOUに移動する
  3. 新しいGPOと呼ばれるSQL Logon As A A Service)を作成します
  4. Default Domain Policyからすべてを追加します
  5. Active Directoryで管理されたサービスアカウントを作成する
  6. 管理されたサービスアカウントをサービスとしてログオンリストに追加します

ここに私があなたを助けるかもしれないと私が見つけたいくつかのリンクがあります:

Windowsサービスアカウントとアクセス許可の構成
SQL ServerサービスアカウントのWindows権限と権利

0
Aaron D