SQL Server mit Managed Service Accounts

[BlackShadow 12]

Hallo,

ich habe da folgendes Problem oder Phänomen.

 

Auf einem Server laufen mehrere SQL Instanzen (7), hier wurde vom Dienstleister alle SQL Server Dienste so eingerichtet das diese als Administrator laufen.

Das ist Sicherheitstechnisch etwas unpraktisch, also kam ich auf die Idee der Managed Service Accounts.

 

Das funktioniert auch gut, jetzt kommt es nur ab und an vor das man Updates der Datenbanken über die entsprechende Anwendung machen muss,

Das klappt dann nicht, den der Eigentümer der SQL DB ist servername\ManagedAccount$ 

Ich kann das ganze natürlich abändern und den Eigentümer auf den Administrator abändern. Das hält dann, bis zum nächsten Tag. Dann ist es wieder der ServiceAccount.

Wie kann ich den das unterbinden, wo kommt das her ?

 

Bin für Tipps dankbar, steh da gerade aufm Schlauch.

 

Grüße 

[cj_berlin 1.313]

Moin,

Rechte in SQL-Datenbanken haben mit Rechten auf Datenbankdateien im Filesystem nichts zu tun. Wenn die Anwendung also mit einem Konto kommt, welches SQL-Rechte hat, kann sie ihre Datenbanken upgraden, egal in welchem Sicherheitskontext der SQL-Dienst läuft. Wenn Du also von SQL-Rechten sprichst, dann kannst Du ja einem beliebigen Account zusätzlich db_owner-Rolle mitgeben.

[BlackShadow 12]

Moin,

hm der Besitzer ist am Anfang Domain\Administrator .. alles funktioniert auch das Update.

Einen Tag später, ist es Domain\ManagedS.Account$ - es geht soweit alles bis zum nächsten Update. 

Ich muss schauen das ich die Fehlermeldung wieder her bekomme. 

[Dukel 454]

DB Owner Rolle, nicht Besitzer der DB!

bearbeitet 29. November 2021 von Dukel

[cj_berlin 1.313]

Der Besitzer von was? Das Service-Account eines SQL-Servers trägt sich doch nicht selbst als Besitzer von Datenbanken ein, nur von Datenbankdateien.

Und wenn die ACL der Datenbankdatei eine Rolle spielen: Wie macht die Anwendung denn das Upgrade? Sie dürfte doch von irgendwelchen Dateien nichts wissen und muss nur mit dem SQL Server kommunizieren...

bearbeitet 29. November 2021 von cj_berlin

[BlackShadow 12]

Anbei ein Screenshot.

Steht hier Domain\Administrator drin geht es,

und durch irgend was, wird das wieder überschrieben.

 

Wie gesagt ich hoffe das ich den Fehler nochmal reproduzieren kann.

 

 

Edit: Müsste ich bei der Instanz unter Sicherheit => Anmeldungen diesen Service Account hinzufügen?

 

bearbeitet 29. November 2021 von BlackShadow

[cj_berlin 1.313]

vor 16 Minuten schrieb BlackShadow:

Edit: Müsste ich bei der Instanz unter Sicherheit => Anmeldungen diesen Service Account hinzufügen?

Normalerweise nicht. Ich habe gerade geschaut: Ich habe hier auf mehreren Servern einen Haufen DB, die alle einwandfrei mit den jeweiligen Anwendungen funktionieren, und bei allen:

• ist der Besitzer gemäß Deinem Screenshot das Admin-Account, das die Datenbank angelegt hat (bei SCCM dementsprechend der Siteserver)
• ist das Service-Account NICHT als DB-User eingetragen

[BlackShadow 12]

Genau, ich kann den Admin Account eintrage, Tag später ist der Service Account wieder drin.

 

Und ich weiß nicht warum. Das Update dann schlägt fehl, (Fehlermeldung reiche ich nach sobald ich wieder eine habe) Wie und was das Update genau macht und wie es die Verb. aufbaut kann ich leider nicht sagen.

[Dukel 454]

Wieso gibst du deinem Update Account nicht mal die DB_Owner Rolle und versuchst dann das Update?

[BlackShadow 12]

Kann ich beim nächsten mal versuchen.

Das könnte sich aber noch hinziehen das letzte Upd. gab es erst.