ServiceAccounts = Userkonten?

[HerbKart 10]

Hallo!

 

Ich hab da mal wieder dringenden Hilfsbedarf:

Ich arbeite mich gerade ein bisschen in Infrastruktur & Co ein und bin dabei mal wieder wie so oft an meine Grenzen gestoßen.

Also, in einer funktionierenden Domäne (meiner ersten ;-) ) möchte ich nun einen TeamFoundationServer hinzufügen. Dafür brauche ich einen SQL-Server. Also, virtuelle Maschine erstellt und SQL-Server installiert - kein Problem. Nun weiß ich aus Erfahrung (Ich hab den TFS und SQL schon öfter auf einem Rechner ohne Domäne installiert) dass ich im neuen SQL-Server einen ServiceUserAccount brauche über welchen der TFS via Sharepoint später seine Berichte erzeugen kann.

Also im SQL-Server-Manager einen neuen User anlegen und dann kommts zum Problem.

Wenn ich auf einem Rechner ohne Domäne einfach einen neuen Nutzernamen angelegt habe lief das oghne Probleme, versuche ich nun einen Nutzer mit

MyDomain\UserName im ServerManager anzulegen gibts folgenden Fehler:

"Windows NT User or Group MyDomain\UserName not found".

 

Macht irgendwie Sinn, den User gibts ja auch noch nicht im DC und nun endlich endlich die Frage (Entschuldigung aber wenn alles neu ist erzähl ich halt lieber zu viel als zu wenig) Muss ich jetzt echt im DC für den Servicezugriff des Sharepointservers auf den SQL Server einen User anlegen? Also so ein normales User Konto? Was ist dann Vor- und Nachname? Nicht dass ich mir da nichts ausdenken könnte, aber dass kann doch nicht der planmäßige Ablauf sein?

 

Hier gibts sicher ne Menge Leute die mir das schmunzelnd locker beantworten können? Da hab ich doch wieder mal was nicht kapiert oder?

 

Danke!

[MrCocktail 191]

Warum sollte es nicht der richtige Ablauf sein?

Jeder Service User der in der Domain verfügbar sein soll, muss doch auch erst erstellt werden

[dmetzger 10]

Du benötigst eigentlich bereits für die sichere Installation des SQL Servers mehrere solche Dienstkonten, z.B. für den Datenbankdienst, den SQL Server-Agenten, die Analysedienste etc.

 

Dabei handelt es sich oft um Standard-Domänenbenutzer, die bei der erstmaligen Installation eines SQL Servers der Gruppe lokaler Administratoren zugeordnet werden müssen. Nach der Installation des ersten SQL Servers werden sie für den Betrieb dieses und die Installation weiterer SQL Server aus der Gruppe lokaler Administratoren entfernt und bleiben Standardbenutzer mit minimalen Rechten.

 

Falls Du DCs mit W2K8/W2K8R hast, kannst Du auch mit Managed Service Accounts arbeiten. Diese werden per Powershell erzeugt und sind mehr Computer- denn Benutzerkonten. U.a. ändern sie alle 30 Tage ihr Kennwort, bieten also eine höhere Sicherheit im System. Hingegen kann jedes dieser verwalteten Dienstkonten nur auf einem Server verwendet werden (d.h. Du benötigst für jeden SQL Server auf verschiedenen Servergeräten je eigene solche Dienstkonten). Standard-Domänenbenutzerkonten können dagegen für SQL Server auf mehreren Servergeräten verwendet werden.

 

Soweit klar?

[Dunkelmann 96]

In der Regel reichen einfache Domänen-Benutzer als Dienstkonten für serverübergreifende Anwendungen.

Möglicherweise benötigen die Konten auf den betreffenden Servern noch weitere Rechte. (z.B. lokal anmelden, als Dienst anmelden oder müssen sogar Mitglied der lokalen Administratoren sein).

Im Detail sollte das im Handbuch der entsprechenden Anwendung dokumentiert sein.

 

- Für die Benennung solcher Dienstkonten solltest Du eine Nomenklatur definieren.

- Das Kennwort sollte zufällig generiert werden und nicht ablaufen.

- Eine eigene OU für solche Konten kann auch nicht schaden.

- Optional kann als Anmeldeskript "Logoff" eingesetzt werden und die Anmeldung auf bestimmte Server beschränkt werden. Damit wird eine interaktive Anmeldung bzw. die Anmeldung an nicht zugelassenen Systemen mit dem Dienstkonto verhindert.

[Dukel 436]

Nur zur Ergänzung: Der SQL Service User benötigt keine Admin Rechte. Auch nicht um den SQL Server zu installieren, wenn man diesen mit einem anderen User installiert und bei der Installation diesen User als SQL Server User auswählt.