Teamviewerzugriff auf SQL-Server für fremde Supporter bereitstellen

[2old4this 0]

Hallo,

Wir haben einen SQL-Server 2008, auf den ein Softwarehersteller Zugriff via Teamviewer benötigt, um eine Schnittstelle zur ERP Software einzurichten.

Den Zugriff auf die Domäne möchte aber wenn möglich einschränken.

 

Ich habe nun ein zusätzliches lokales Administratorkonto auf dem Server angelegt. Diesen Benutzer habe ich unter Anmeldungen im Management Studio hinzugefügt. Ausser den Vorgaben habe ich wie beim bisher genutzten Konto in den Serverrollen sysadmin angehakt.

Kann es durch die fehlende Domänenanbindung zu Einschränkungen kommen oder kann ein Administrator den SQL-Server so supporten?

 

Danke für ein paar (unabhängige) Tipps!

 

Frank

[Dr.Melzer 191]

Was würdest du denn machen wenn der Supporter nicht per TeamViewer zugreifen würde, sondern bei dir im Rechenzentrum sitzen würde?

 

Soll der Supporter dauerhaft diesen Zugriff bekommen, oder nur für diese eine Aufgabe?

[2old4this 0]

Das ist nicht der erste Zugriff von Dritten auf den SQL-Server, aber inzwischen der dritte Hersteller. Bisher habe ich immer kurzfristig Zugriff gewährt und zugeschaut... Das würde ich auch natürlich auch tun, wenn er physikalisch vor dem Server sitzt.

Dieser Hersteller fragte nach einen dauerhaften Zugriff, wir wollen für 2-3 Tage den Teamviewerzugriff gewähren, dann würde ich sein Kennwort wieder löschen und bei Bedarf wieder aktivieren.

Ich kann einfach nicht immer zuschauen, wenn die Jungs arbeiten...

[magheinz 110]

Dieser Hersteller fragte nach einen dauerhaften Zugriff, wir wollen für 2-3 Tage den Teamviewerzugriff gewähren, dann würde ich sein Kennwort wieder löschen und bei Bedarf wieder aktivieren.

Wie bildet man das am besten lizenztechnisch ab?

[Dr.Melzer 191]

Dieser Hersteller fragte nach einen dauerhaften Zugriff, wir wollen für 2-3 Tage den Teamviewerzugriff gewähren, dann würde ich sein Kennwort wieder löschen und bei Bedarf wieder aktivieren.

 

Mit welcher Begründung möchte der Hersteller so lange Zugriff?

 

Ich würde ihm sagen, er soll anrufen, wenn er zugreifen will, dann schalte ich ihm einen TeamViewer Zugriff ein und schaue ihn zu was er macht. Ungehinderten Zugriff über mehrere Tage würde ich nie im Leben machen. IMHO gibt es dafür auch keinen sachlichen Grund, mal abgesehen von der Faulheit und Bequemlichkeit des Dienstleisters.

 

Frag ihn doch mal warum er Zugriff für mehrere Tage braucht und was er denn in der Zeit (vor allem nachts) so alles machen möchte.

Wie bildet man das am besten lizenztechnisch ab?

Dafür sind auch CALs notwendig, welche der Lizenznehmer des Servers bereitstellen muss.

[magheinz 110]

braucht man auch eine RDS-CAL oder fällt das unter die Admin-Zugriffe?

[Little John 0]

Wir haben selber einen Kunden bei dem ein Externer Dienstleister Softwarewartungen durchführt, der muss sich bei uns melden und dann wird Ihm der RDP Port auf der FW für die Dauer freigeschalten und danach wieder geschlossen. Funktioniert ganz gut so.

[2old4this 0]

Danke für die Meldungen, Nachfragen und Hinweise.

An die Lizenzen habe ich natürlich gedacht ;-) Guter Hinweis.

Natürlich würde ich den Teamviewer auch nur tagsüber laufen lassen, und ab und zu mal reinschauen.

OK, das mit dem Zugriff hätten wir ja so ziemlich geklärt...

 

Meine eigentliche Frage war aber, ob das lokale Konto ausreicht (und die Einstellung sysadmin im Managementstudio, siehe oben) um an den Datenbanken alles machen zu können?

 

Wenn das noch einer Bestätigen könnte, wäre super. Vielen Dank schonmal!

[Dr.Melzer 191]

Natürlich würde ich den Teamviewer auch nur tagsüber laufen lassen, und ab und zu mal reinschauen.

Wenn diese Leute den ganzen Tag in deinem Serverraum sitzen würden, würdest du dann auch nur "ab und zu" vorbei schauen, oder würdest du dann die ganze Zeit neben ihnen sitzen?

[Dunkelmann 96]

Moin,

 

zum Teamviewer Zugang wurde ja schon einiges geschrieben. Bei uns arbeiten Externe grundsätzlich unter Aufsicht; besonders dann wenn sie temporär administrative Rechte bekommen.

 

Was genau auf dem SQL und ggf. noch auf anderen Systemen (bspw. Applikationsserver etc.) benötigt wird, hängt von der Software und den zu erledigenden Arbeiten ab.

Für einfache Aufgaben innerhalb einer vorhandenen SQL Instanz muss der Dienstleister auch kein Administrator auf dem SQL sein. Da reicht ein Benutzer und ggf. sa oder sysadmin Rechte in der SQL Instanz.

[Doso 77]

Bei uns kriegen die einen VPN Account und können sich auf per VPN Client einwählen und dann per SSH/RDP weiter verbinden. Account wird dann nach Verwendung auch wieder deaktiviert.

[Coldasice 12]

Kann es durch die fehlende Domänenanbindung zu Einschränkungen kommen oder kann ein Administrator den SQL-Server so supporten?

 

Mal zur eigentlichen Frage, nein, kann es nicht, sofern derjenige nicht auf Netzlaufwerke (z.B. für Backup oder Restore) zugreifen muss.

Die Frage zur Aufsicht die hier alle diskutieren, es kommt ja auch ein wenig darauf an, wie gut man denjenigen kennt und/oder einschätzt.

Generell steht einen unbeaufsichtigten Zugriff auch nichts im Weg, wenn man weiß das derjenige qualifiziert ist.