информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Google окончательно прикрывает... 
 С наступающим 
 Серьезная уязвимость в Apache Log4j 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Точно user1 даны права через локальную политику, а не через доменную? 23.05.05 20:55  Число просмотров: 1831
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
<sysadmin>
Проблемы в запуском sqlserveragent (MS SQL 2000) 23.05.05 16:04  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Имеем AD, внём сервер W2KAS (SP4) c MSSQL 2000 (SP3). SQL-сервер запускается под юзером user1@domain, который является просто Domain User. Соответственно, ему даны все необходимые права (через локальную политику) типа Log on as service, Log on as a batch job и т.д. (всё как написал Microsoft). Под этим же юзером запускается и sqlserveragent. Всё отлично, всё работает
Далее, создаю ещё одного Domain user (user2@domain), даю через локальную политику те же права, что и user1@domain, ставлю запуск msqlserver и sqlserveragent из-под этих пользователей. В результате msqlserver запускается и работает, а sqlserveragent не стартует, в аудите отказов видно вот что:

******************************
Тип события: Аудит отказов
Источник события: Security
Категория события: Object Access
Код события: 560
Дата: 20.05.2005
Время: 16:54:45
Пользователь: DOMAIN\user2
Компьютер: SQLSERVER
Описание:
Object Open:
Object Server: SC Manager
Object Type: SERVICE OBJECT
Object Name: SQLSERVERAGENT
New Handle ID: -
Operation ID: {0,154001}
Process ID: 256
Primary User Name: SQLSERVER$
Primary Domain: DOMAIN
Primary Logon ID: (0x0,0x3E7)
Client User Name: user2
Client Domain: DOMAIN
Client Logon ID: (0x0,0x16F82)
Accesses READ_CONTROL
Query service configuration information
Query status of service
Enumerate dependencies of service
Start the service
Stop the service
Pause or continue the service
Query information from service
Issue service-specific control commands

Privileges -


******************************

Разрешения NTFS у этих двух юзеров одинаковые.
Сделал user2 локальным админом, всё запускается. Но это нехорошо, хочется решить вопрос. Есть идеи?

Прпробовал программой subinacl посмотреть права на обе службы. Оказалось, что они идентичны:
********************
/control=0x0
/owner =system
/primary group =system
/audit ace count =1
/aace =everyone SYSTEM_AUDIT_ACE_TYPE-0x2
FAILED_ACCESS_ACE_FLAG-0x80 FAILED_ACCESS_ACE_FLAG-0x0x80
SERVICE_ALL_ACCESS
/perm. ace count =4
/pace =system ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_QUERY_CONFIG-0x1 SERVICE_QUERY_STATUS-0x4 SERVICE_ENUMERATE_DEPEND-0x8
SERVICE_START-0x10 SERVICE_STOP-0x20 SERVICE_PAUSE_CONTINUE-0x40 SERVICE_INTERROGATE-0x80
READ_CONTROL-0x20000 SERVICE_USER_DEFINED_CONTROL-0x0100
/pace =builtin\administrators ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_ALL_ACCESS
/pace =authenticated users ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_QUERY_CONFIG-0x1 SERVICE_QUERY_STATUS-0x4 SERVICE_ENUMERATE_DEPEND-0x8
SERVICE_INTERROGATE-0x80 READ_CONTROL-0x20000 SERVICE_USER_DEFINED_CONTROL-0x0100
/pace =builtin\power users ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_QUERY_CONFIG-0x1 SERVICE_QUERY_STATUS-0x4 SERVICE_ENUMERATE_DEPEND-0x8
SERVICE_START-0x10 SERVICE_STOP-0x20 SERVICE_PAUSE_CONTINUE-0x40 SERVICE_INTERROGATE-0x80
READ_CONTROL-0x20000 SERVICE_USER_DEFINED_CONTROL-0x0100

********************
Более того, я вообще не понимаю отсюда, каким образом у user1@domain получается запускать эти службы, ведь вроде бы разрешения тут не видно.
В общем, помогайте.
решилось 26.05.05 12:45  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Оказалось, стояла галочка в свойствах sqlserveragent "Auto Restart if it stops unexpectedly". Microsoft пишет, что для этого должны быть права локального администратора. Но практика показала, что достаточно просто прав на конкретную службу для перезапуска.
Точно user1 даны права через локальную политику, а не через доменную? 23.05.05 20:55  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Точно. А какая разница? 23.05.05 22:25  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Дык вроде доменные политики перекрывают локальные. 24.05.05 13:45  
Автор: Den <Denis> Статус: The Elderman
Отредактировано 24.05.05 13:47  Количество правок: 1
<"чистая" ссылка>
Пользователя User1 тоже ты создавал?
Да. Как раз для установки SQL-сервера. 24.05.05 14:10  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Чтоже из тебя все клещами вытягивать приходится?... ;) 24.05.05 15:57  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Возможно ты создавал User1 с правами администратора, а затем, после настройки SQLServerAgent, поменял права с администраторских на пользовательские. Или указал буджет User1 при установке SQL сервера и последний провел все необходимые изменения в разрешениях.

Есть подозрения, что бюджету User2 недоступны на запись некоторые ключи реестра с настройкой SQLServerAgent.
Честно говоря, природу user1 я помню не очень хорошо. Какие... 24.05.05 16:30  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> Возможно ты создавал User1 с правами администратора, а
> затем, после настройки SQLServerAgent, поменял права с
> администраторских на пользовательские. Или указал буджет
> User1 при установке SQL сервера и последний провел все
> необходимые изменения в разрешениях.
Честно говоря, природу user1 я помню не очень хорошо. Какие необходимые изменения провёл SQL? У Microsoft есть статья о том, как запустить sql server не из-под администратора, а обычного пользователя. Вот я строго ей следовал. Хотя, может быть к sqlserveragent она не относится.

> Есть подозрения, что бюджету User2 недоступны на запись
> некоторые ключи реестра с настройкой SQLServerAgent.
Это вроде не должно мешать. Потому что я дал права на стоп\старт службы, вроде всё заработало. При этом никакого дополнительного доступа на запись в реестр user2 не получил.
Может это поможет (inside)? 24.05.05 19:53  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
The domain account that you specify must be a member of the sysadmin role on the local instance of SQL Server.

Starting SQLServerAgent Service
Такая роль у него есть. (других нет) Доступ ко всем базам только public и db_owner. 24.05.05 20:28  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Если не секрет - для какой задачи MS SQL2k? 23.05.05 20:33  
Автор: ВНЬ Статус: Незарегистрированный пользователь
Отредактировано 23.05.05 20:38  Количество правок: 1
<"чистая" ссылка>
Если не секрет - для какой задачи MS SQL2k?
Случайно не 1С?
Если нет, то зачем вообще на винде SQL?
Т.е. о цели более крупной скажи (ну не люблю я M$ SQL ;-)
Правда для простой задачи кой-нть, и так, чтобы по-быстрому, сгодится и он.
Аккаунты из AD, SQL Mail ,соответстенно, работающий с MS... 23.05.05 22:31  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> Если не секрет - для какой задачи MS SQL2k?
Аккаунты из AD, SQL Mail ,соответстенно, работающий с MS Exchange

> Случайно не 1С?
не 1С

> Если нет, то зачем вообще на винде SQL?
Я другими не владею.

> Т.е. о цели более крупной скажи (ну не люблю я M$ SQL ;-)
> Правда для простой задачи кой-нть, и так, чтобы
> по-быстрому, сгодится и он.
Да, задача не сложна.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach