информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеЗа кого нас держат?Где водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Проблемы в запуском sqlserveragent (MS SQL 2000) 23.05.05 16:04  Число просмотров: 2707
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Имеем AD, внём сервер W2KAS (SP4) c MSSQL 2000 (SP3). SQL-сервер запускается под юзером user1@domain, который является просто Domain User. Соответственно, ему даны все необходимые права (через локальную политику) типа Log on as service, Log on as a batch job и т.д. (всё как написал Microsoft). Под этим же юзером запускается и sqlserveragent. Всё отлично, всё работает
Далее, создаю ещё одного Domain user (user2@domain), даю через локальную политику те же права, что и user1@domain, ставлю запуск msqlserver и sqlserveragent из-под этих пользователей. В результате msqlserver запускается и работает, а sqlserveragent не стартует, в аудите отказов видно вот что:

******************************
Тип события: Аудит отказов
Источник события: Security
Категория события: Object Access
Код события: 560
Дата: 20.05.2005
Время: 16:54:45
Пользователь: DOMAIN\user2
Компьютер: SQLSERVER
Описание:
Object Open:
Object Server: SC Manager
Object Type: SERVICE OBJECT
Object Name: SQLSERVERAGENT
New Handle ID: -
Operation ID: {0,154001}
Process ID: 256
Primary User Name: SQLSERVER$
Primary Domain: DOMAIN
Primary Logon ID: (0x0,0x3E7)
Client User Name: user2
Client Domain: DOMAIN
Client Logon ID: (0x0,0x16F82)
Accesses READ_CONTROL
Query service configuration information
Query status of service
Enumerate dependencies of service
Start the service
Stop the service
Pause or continue the service
Query information from service
Issue service-specific control commands

Privileges -


******************************

Разрешения NTFS у этих двух юзеров одинаковые.
Сделал user2 локальным админом, всё запускается. Но это нехорошо, хочется решить вопрос. Есть идеи?

Прпробовал программой subinacl посмотреть права на обе службы. Оказалось, что они идентичны:
********************
/control=0x0
/owner =system
/primary group =system
/audit ace count =1
/aace =everyone SYSTEM_AUDIT_ACE_TYPE-0x2
FAILED_ACCESS_ACE_FLAG-0x80 FAILED_ACCESS_ACE_FLAG-0x0x80
SERVICE_ALL_ACCESS
/perm. ace count =4
/pace =system ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_QUERY_CONFIG-0x1 SERVICE_QUERY_STATUS-0x4 SERVICE_ENUMERATE_DEPEND-0x8
SERVICE_START-0x10 SERVICE_STOP-0x20 SERVICE_PAUSE_CONTINUE-0x40 SERVICE_INTERROGATE-0x80
READ_CONTROL-0x20000 SERVICE_USER_DEFINED_CONTROL-0x0100
/pace =builtin\administrators ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_ALL_ACCESS
/pace =authenticated users ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_QUERY_CONFIG-0x1 SERVICE_QUERY_STATUS-0x4 SERVICE_ENUMERATE_DEPEND-0x8
SERVICE_INTERROGATE-0x80 READ_CONTROL-0x20000 SERVICE_USER_DEFINED_CONTROL-0x0100
/pace =builtin\power users ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_QUERY_CONFIG-0x1 SERVICE_QUERY_STATUS-0x4 SERVICE_ENUMERATE_DEPEND-0x8
SERVICE_START-0x10 SERVICE_STOP-0x20 SERVICE_PAUSE_CONTINUE-0x40 SERVICE_INTERROGATE-0x80
READ_CONTROL-0x20000 SERVICE_USER_DEFINED_CONTROL-0x0100

********************
Более того, я вообще не понимаю отсюда, каким образом у user1@domain получается запускать эти службы, ведь вроде бы разрешения тут не видно.
В общем, помогайте.
<sysadmin> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach