2old4this 0 Posted February 21, 2017 Report Share Posted February 21, 2017 Hallo, Wir haben einen SQL-Server 2008, auf den ein Softwarehersteller Zugriff via Teamviewer benötigt, um eine Schnittstelle zur ERP Software einzurichten. Den Zugriff auf die Domäne möchte aber wenn möglich einschränken. Ich habe nun ein zusätzliches lokales Administratorkonto auf dem Server angelegt. Diesen Benutzer habe ich unter Anmeldungen im Management Studio hinzugefügt. Ausser den Vorgaben habe ich wie beim bisher genutzten Konto in den Serverrollen sysadmin angehakt. Kann es durch die fehlende Domänenanbindung zu Einschränkungen kommen oder kann ein Administrator den SQL-Server so supporten? Danke für ein paar (unabhängige) Tipps! Frank Quote Link to comment
Dr.Melzer 191 Posted February 21, 2017 Report Share Posted February 21, 2017 Was würdest du denn machen wenn der Supporter nicht per TeamViewer zugreifen würde, sondern bei dir im Rechenzentrum sitzen würde? Soll der Supporter dauerhaft diesen Zugriff bekommen, oder nur für diese eine Aufgabe? Quote Link to comment
2old4this 0 Posted February 21, 2017 Author Report Share Posted February 21, 2017 Das ist nicht der erste Zugriff von Dritten auf den SQL-Server, aber inzwischen der dritte Hersteller. Bisher habe ich immer kurzfristig Zugriff gewährt und zugeschaut... Das würde ich auch natürlich auch tun, wenn er physikalisch vor dem Server sitzt. Dieser Hersteller fragte nach einen dauerhaften Zugriff, wir wollen für 2-3 Tage den Teamviewerzugriff gewähren, dann würde ich sein Kennwort wieder löschen und bei Bedarf wieder aktivieren. Ich kann einfach nicht immer zuschauen, wenn die Jungs arbeiten... Quote Link to comment
magheinz 110 Posted February 21, 2017 Report Share Posted February 21, 2017 Dieser Hersteller fragte nach einen dauerhaften Zugriff, wir wollen für 2-3 Tage den Teamviewerzugriff gewähren, dann würde ich sein Kennwort wieder löschen und bei Bedarf wieder aktivieren. Wie bildet man das am besten lizenztechnisch ab? Quote Link to comment
Dr.Melzer 191 Posted February 21, 2017 Report Share Posted February 21, 2017 Dieser Hersteller fragte nach einen dauerhaften Zugriff, wir wollen für 2-3 Tage den Teamviewerzugriff gewähren, dann würde ich sein Kennwort wieder löschen und bei Bedarf wieder aktivieren. Mit welcher Begründung möchte der Hersteller so lange Zugriff? Ich würde ihm sagen, er soll anrufen, wenn er zugreifen will, dann schalte ich ihm einen TeamViewer Zugriff ein und schaue ihn zu was er macht. Ungehinderten Zugriff über mehrere Tage würde ich nie im Leben machen. IMHO gibt es dafür auch keinen sachlichen Grund, mal abgesehen von der Faulheit und Bequemlichkeit des Dienstleisters. Frag ihn doch mal warum er Zugriff für mehrere Tage braucht und was er denn in der Zeit (vor allem nachts) so alles machen möchte. Wie bildet man das am besten lizenztechnisch ab? Dafür sind auch CALs notwendig, welche der Lizenznehmer des Servers bereitstellen muss. Quote Link to comment
magheinz 110 Posted February 21, 2017 Report Share Posted February 21, 2017 braucht man auch eine RDS-CAL oder fällt das unter die Admin-Zugriffe? Quote Link to comment
Little John 0 Posted February 21, 2017 Report Share Posted February 21, 2017 Wir haben selber einen Kunden bei dem ein Externer Dienstleister Softwarewartungen durchführt, der muss sich bei uns melden und dann wird Ihm der RDP Port auf der FW für die Dauer freigeschalten und danach wieder geschlossen. Funktioniert ganz gut so. Quote Link to comment
2old4this 0 Posted February 21, 2017 Author Report Share Posted February 21, 2017 Danke für die Meldungen, Nachfragen und Hinweise. An die Lizenzen habe ich natürlich gedacht ;-) Guter Hinweis. Natürlich würde ich den Teamviewer auch nur tagsüber laufen lassen, und ab und zu mal reinschauen. OK, das mit dem Zugriff hätten wir ja so ziemlich geklärt... Meine eigentliche Frage war aber, ob das lokale Konto ausreicht (und die Einstellung sysadmin im Managementstudio, siehe oben) um an den Datenbanken alles machen zu können? Wenn das noch einer Bestätigen könnte, wäre super. Vielen Dank schonmal! Quote Link to comment
Dr.Melzer 191 Posted February 21, 2017 Report Share Posted February 21, 2017 Natürlich würde ich den Teamviewer auch nur tagsüber laufen lassen, und ab und zu mal reinschauen. Wenn diese Leute den ganzen Tag in deinem Serverraum sitzen würden, würdest du dann auch nur "ab und zu" vorbei schauen, oder würdest du dann die ganze Zeit neben ihnen sitzen? Quote Link to comment
Dunkelmann 96 Posted February 21, 2017 Report Share Posted February 21, 2017 Moin, zum Teamviewer Zugang wurde ja schon einiges geschrieben. Bei uns arbeiten Externe grundsätzlich unter Aufsicht; besonders dann wenn sie temporär administrative Rechte bekommen. Was genau auf dem SQL und ggf. noch auf anderen Systemen (bspw. Applikationsserver etc.) benötigt wird, hängt von der Software und den zu erledigenden Arbeiten ab. Für einfache Aufgaben innerhalb einer vorhandenen SQL Instanz muss der Dienstleister auch kein Administrator auf dem SQL sein. Da reicht ein Benutzer und ggf. sa oder sysadmin Rechte in der SQL Instanz. 1 Quote Link to comment
Doso 77 Posted February 28, 2017 Report Share Posted February 28, 2017 Bei uns kriegen die einen VPN Account und können sich auf per VPN Client einwählen und dann per SSH/RDP weiter verbinden. Account wird dann nach Verwendung auch wieder deaktiviert. Quote Link to comment
Coldasice 12 Posted April 12, 2017 Report Share Posted April 12, 2017 Kann es durch die fehlende Domänenanbindung zu Einschränkungen kommen oder kann ein Administrator den SQL-Server so supporten? Mal zur eigentlichen Frage, nein, kann es nicht, sofern derjenige nicht auf Netzlaufwerke (z.B. für Backup oder Restore) zugreifen muss. Die Frage zur Aufsicht die hier alle diskutieren, es kommt ja auch ein wenig darauf an, wie gut man denjenigen kennt und/oder einschätzt. Generell steht einen unbeaufsichtigten Zugriff auch nichts im Weg, wenn man weiß das derjenige qualifiziert ist. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.