Jump to content

SQL Server mit Managed Service Accounts


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich habe da folgendes Problem oder Phänomen.

 

Auf einem Server laufen mehrere SQL Instanzen (7), hier wurde vom Dienstleister alle SQL Server Dienste so eingerichtet das diese als Administrator laufen.

Das ist Sicherheitstechnisch etwas unpraktisch, also kam ich auf die Idee der Managed Service Accounts.

 

Das funktioniert auch gut, jetzt kommt es nur ab und an vor das man Updates der Datenbanken über die entsprechende Anwendung machen muss,

Das klappt dann nicht, den der Eigentümer der SQL DB ist servername\ManagedAccount$ 

Ich kann das ganze natürlich abändern und den Eigentümer auf den Administrator abändern. Das hält dann, bis zum nächsten Tag. Dann ist es wieder der ServiceAccount.

Wie kann ich den das unterbinden, wo kommt das her ?

 

Bin für Tipps dankbar, steh da gerade aufm Schlauch.

 

Grüße 

Link zu diesem Kommentar

Moin,

Rechte in SQL-Datenbanken haben mit Rechten auf Datenbankdateien im Filesystem nichts zu tun. Wenn die Anwendung also mit einem Konto kommt, welches SQL-Rechte hat, kann sie ihre Datenbanken upgraden, egal in welchem Sicherheitskontext der SQL-Dienst läuft. Wenn Du also von SQL-Rechten sprichst, dann kannst Du ja einem beliebigen Account zusätzlich db_owner-Rolle mitgeben.

Link zu diesem Kommentar

Der Besitzer von was? Das Service-Account eines SQL-Servers trägt sich doch nicht selbst als Besitzer von Datenbanken ein, nur von Datenbankdateien.

Und wenn die ACL der Datenbankdatei eine Rolle spielen: Wie macht die Anwendung denn das Upgrade? Sie dürfte doch von irgendwelchen Dateien nichts wissen und muss nur mit dem SQL Server kommunizieren...

bearbeitet von cj_berlin
Link zu diesem Kommentar

Anbei ein Screenshot.

Steht hier Domain\Administrator drin geht es,

und durch irgend was, wird das wieder überschrieben.

 

Wie gesagt ich hoffe das ich den Fehler nochmal reproduzieren kann.

 

mssql.jpg

 

Edit: Müsste ich bei der Instanz unter Sicherheit => Anmeldungen diesen Service Account hinzufügen?

 

bearbeitet von BlackShadow
Link zu diesem Kommentar
vor 16 Minuten schrieb BlackShadow:

Edit: Müsste ich bei der Instanz unter Sicherheit => Anmeldungen diesen Service Account hinzufügen?

Normalerweise nicht. Ich habe gerade geschaut: Ich habe hier auf mehreren Servern einen Haufen DB, die alle einwandfrei mit den jeweiligen Anwendungen funktionieren, und bei allen:

  • ist der Besitzer gemäß Deinem Screenshot das Admin-Account, das die Datenbank angelegt hat (bei SCCM dementsprechend der Siteserver)
  • ist das Service-Account NICHT als DB-User eingetragen
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...