Jump to content

SQL Server mit Managed Service Accounts


Recommended Posts

Hallo,

ich habe da folgendes Problem oder Phänomen.

 

Auf einem Server laufen mehrere SQL Instanzen (7), hier wurde vom Dienstleister alle SQL Server Dienste so eingerichtet das diese als Administrator laufen.

Das ist Sicherheitstechnisch etwas unpraktisch, also kam ich auf die Idee der Managed Service Accounts.

 

Das funktioniert auch gut, jetzt kommt es nur ab und an vor das man Updates der Datenbanken über die entsprechende Anwendung machen muss,

Das klappt dann nicht, den der Eigentümer der SQL DB ist servername\ManagedAccount$ 

Ich kann das ganze natürlich abändern und den Eigentümer auf den Administrator abändern. Das hält dann, bis zum nächsten Tag. Dann ist es wieder der ServiceAccount.

Wie kann ich den das unterbinden, wo kommt das her ?

 

Bin für Tipps dankbar, steh da gerade aufm Schlauch.

 

Grüße 

Link to comment

Moin,

Rechte in SQL-Datenbanken haben mit Rechten auf Datenbankdateien im Filesystem nichts zu tun. Wenn die Anwendung also mit einem Konto kommt, welches SQL-Rechte hat, kann sie ihre Datenbanken upgraden, egal in welchem Sicherheitskontext der SQL-Dienst läuft. Wenn Du also von SQL-Rechten sprichst, dann kannst Du ja einem beliebigen Account zusätzlich db_owner-Rolle mitgeben.

Link to comment

Der Besitzer von was? Das Service-Account eines SQL-Servers trägt sich doch nicht selbst als Besitzer von Datenbanken ein, nur von Datenbankdateien.

Und wenn die ACL der Datenbankdatei eine Rolle spielen: Wie macht die Anwendung denn das Upgrade? Sie dürfte doch von irgendwelchen Dateien nichts wissen und muss nur mit dem SQL Server kommunizieren...

Edited by cj_berlin
Link to comment

Anbei ein Screenshot.

Steht hier Domain\Administrator drin geht es,

und durch irgend was, wird das wieder überschrieben.

 

Wie gesagt ich hoffe das ich den Fehler nochmal reproduzieren kann.

 

mssql.jpg

 

Edit: Müsste ich bei der Instanz unter Sicherheit => Anmeldungen diesen Service Account hinzufügen?

 

Edited by BlackShadow
Link to comment
vor 16 Minuten schrieb BlackShadow:

Edit: Müsste ich bei der Instanz unter Sicherheit => Anmeldungen diesen Service Account hinzufügen?

Normalerweise nicht. Ich habe gerade geschaut: Ich habe hier auf mehreren Servern einen Haufen DB, die alle einwandfrei mit den jeweiligen Anwendungen funktionieren, und bei allen:

  • ist der Besitzer gemäß Deinem Screenshot das Admin-Account, das die Datenbank angelegt hat (bei SCCM dementsprechend der Siteserver)
  • ist das Service-Account NICHT als DB-User eingetragen
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...