Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Проблемы в запуском sqlserveragent (MS SQL 2000) 23.05.05 16:04 Число просмотров: 3262
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
Имеем AD, внём сервер W2KAS (SP4) c MSSQL 2000 (SP3). SQL-сервер запускается под юзером user1@domain, который является просто Domain User. Соответственно, ему даны все необходимые права (через локальную политику) типа Log on as service, Log on as a batch job и т.д. (всё как написал Microsoft). Под этим же юзером запускается и sqlserveragent. Всё отлично, всё работает
Далее, создаю ещё одного Domain user (user2@domain), даю через локальную политику те же права, что и user1@domain, ставлю запуск msqlserver и sqlserveragent из-под этих пользователей. В результате msqlserver запускается и работает, а sqlserveragent не стартует, в аудите отказов видно вот что:
****************************** Тип события: Аудит отказов
Источник события: Security
Категория события: Object Access
Код события: 560
Дата: 20.05.2005
Время: 16:54:45
Пользователь: DOMAIN\user2
Компьютер: SQLSERVER
Описание:
Object Open:
Object Server: SC Manager
Object Type: SERVICE OBJECT
Object Name: SQLSERVERAGENT
New Handle ID: -
Operation ID: {0,154001}
Process ID: 256
Primary User Name: SQLSERVER$
Primary Domain: DOMAIN
Primary Logon ID: (0x0,0x3E7)
Client User Name: user2
Client Domain: DOMAIN
Client Logon ID: (0x0,0x16F82)
Accesses READ_CONTROL
Query service configuration information
Query status of service
Enumerate dependencies of service
Start the service
Stop the service
Pause or continue the service
Query information from service
Issue service-specific control commands
Privileges -
******************************
Разрешения NTFS у этих двух юзеров одинаковые.
Сделал user2 локальным админом, всё запускается. Но это нехорошо, хочется решить вопрос. Есть идеи?
Прпробовал программой subinacl посмотреть права на обе службы. Оказалось, что они идентичны:
******************** /control=0x0
/owner =system
/primary group =system
/audit ace count =1
/aace =everyone SYSTEM_AUDIT_ACE_TYPE-0x2
FAILED_ACCESS_ACE_FLAG-0x80 FAILED_ACCESS_ACE_FLAG-0x0x80
SERVICE_ALL_ACCESS
/perm. ace count =4
/pace =system ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_QUERY_CONFIG-0x1 SERVICE_QUERY_STATUS-0x4 SERVICE_ENUMERATE_DEPEND-0x8
SERVICE_START-0x10 SERVICE_STOP-0x20 SERVICE_PAUSE_CONTINUE-0x40 SERVICE_INTERROGATE-0x80
READ_CONTROL-0x20000 SERVICE_USER_DEFINED_CONTROL-0x0100
/pace =builtin\administrators ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_ALL_ACCESS
/pace =authenticated users ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_QUERY_CONFIG-0x1 SERVICE_QUERY_STATUS-0x4 SERVICE_ENUMERATE_DEPEND-0x8
SERVICE_INTERROGATE-0x80 READ_CONTROL-0x20000 SERVICE_USER_DEFINED_CONTROL-0x0100
/pace =builtin\power users ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_QUERY_CONFIG-0x1 SERVICE_QUERY_STATUS-0x4 SERVICE_ENUMERATE_DEPEND-0x8
SERVICE_START-0x10 SERVICE_STOP-0x20 SERVICE_PAUSE_CONTINUE-0x40 SERVICE_INTERROGATE-0x80
READ_CONTROL-0x20000 SERVICE_USER_DEFINED_CONTROL-0x0100
******************** Более того, я вообще не понимаю отсюда, каким образом у user1@domain получается запускать эти службы, ведь вроде бы разрешения тут не видно.
В общем, помогайте.
|
- Проблемы в запуском sqlserveragent (MS SQL 2000) - ZloyShaman 23.05.05 16:04 [3262]
|
|
|