Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | |
Дык вроде доменные политики перекрывают локальные. 24.05.05 13:45 Число просмотров: 2143
Автор: Den <Denis> Статус: The Elderman Отредактировано 24.05.05 13:47 Количество правок: 1
|
Пользователя User1 тоже ты создавал?
|
<sysadmin>
|
Проблемы в запуском sqlserveragent (MS SQL 2000) 23.05.05 16:04
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
Имеем AD, внём сервер W2KAS (SP4) c MSSQL 2000 (SP3). SQL-сервер запускается под юзером user1@domain, который является просто Domain User. Соответственно, ему даны все необходимые права (через локальную политику) типа Log on as service, Log on as a batch job и т.д. (всё как написал Microsoft). Под этим же юзером запускается и sqlserveragent. Всё отлично, всё работает
Далее, создаю ещё одного Domain user (user2@domain), даю через локальную политику те же права, что и user1@domain, ставлю запуск msqlserver и sqlserveragent из-под этих пользователей. В результате msqlserver запускается и работает, а sqlserveragent не стартует, в аудите отказов видно вот что:
****************************** Тип события: Аудит отказов
Источник события: Security
Категория события: Object Access
Код события: 560
Дата: 20.05.2005
Время: 16:54:45
Пользователь: DOMAIN\user2
Компьютер: SQLSERVER
Описание:
Object Open:
Object Server: SC Manager
Object Type: SERVICE OBJECT
Object Name: SQLSERVERAGENT
New Handle ID: -
Operation ID: {0,154001}
Process ID: 256
Primary User Name: SQLSERVER$
Primary Domain: DOMAIN
Primary Logon ID: (0x0,0x3E7)
Client User Name: user2
Client Domain: DOMAIN
Client Logon ID: (0x0,0x16F82)
Accesses READ_CONTROL
Query service configuration information
Query status of service
Enumerate dependencies of service
Start the service
Stop the service
Pause or continue the service
Query information from service
Issue service-specific control commands
Privileges -
******************************
Разрешения NTFS у этих двух юзеров одинаковые.
Сделал user2 локальным админом, всё запускается. Но это нехорошо, хочется решить вопрос. Есть идеи?
Прпробовал программой subinacl посмотреть права на обе службы. Оказалось, что они идентичны:
******************** /control=0x0
/owner =system
/primary group =system
/audit ace count =1
/aace =everyone SYSTEM_AUDIT_ACE_TYPE-0x2
FAILED_ACCESS_ACE_FLAG-0x80 FAILED_ACCESS_ACE_FLAG-0x0x80
SERVICE_ALL_ACCESS
/perm. ace count =4
/pace =system ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_QUERY_CONFIG-0x1 SERVICE_QUERY_STATUS-0x4 SERVICE_ENUMERATE_DEPEND-0x8
SERVICE_START-0x10 SERVICE_STOP-0x20 SERVICE_PAUSE_CONTINUE-0x40 SERVICE_INTERROGATE-0x80
READ_CONTROL-0x20000 SERVICE_USER_DEFINED_CONTROL-0x0100
/pace =builtin\administrators ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_ALL_ACCESS
/pace =authenticated users ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_QUERY_CONFIG-0x1 SERVICE_QUERY_STATUS-0x4 SERVICE_ENUMERATE_DEPEND-0x8
SERVICE_INTERROGATE-0x80 READ_CONTROL-0x20000 SERVICE_USER_DEFINED_CONTROL-0x0100
/pace =builtin\power users ACCESS_ALLOWED_ACE_TYPE-0x0
SERVICE_QUERY_CONFIG-0x1 SERVICE_QUERY_STATUS-0x4 SERVICE_ENUMERATE_DEPEND-0x8
SERVICE_START-0x10 SERVICE_STOP-0x20 SERVICE_PAUSE_CONTINUE-0x40 SERVICE_INTERROGATE-0x80
READ_CONTROL-0x20000 SERVICE_USER_DEFINED_CONTROL-0x0100
******************** Более того, я вообще не понимаю отсюда, каким образом у user1@domain получается запускать эти службы, ведь вроде бы разрешения тут не видно.
В общем, помогайте.
|
|
решилось 26.05.05 12:45
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
Оказалось, стояла галочка в свойствах sqlserveragent "Auto Restart if it stops unexpectedly". Microsoft пишет, что для этого должны быть права локального администратора. Но практика показала, что достаточно просто прав на конкретную службу для перезапуска.
|
|
Точно user1 даны права через локальную политику, а не через доменную? 23.05.05 20:55
Автор: Den <Denis> Статус: The Elderman
|
|
| |
Точно. А какая разница? 23.05.05 22:25
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
| | |
Дык вроде доменные политики перекрывают локальные. 24.05.05 13:45
Автор: Den <Denis> Статус: The Elderman Отредактировано 24.05.05 13:47 Количество правок: 1
|
Пользователя User1 тоже ты создавал?
|
| | | |
Да. Как раз для установки SQL-сервера. 24.05.05 14:10
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
| | | | |
Чтоже из тебя все клещами вытягивать приходится?... ;) 24.05.05 15:57
Автор: Den <Denis> Статус: The Elderman
|
Возможно ты создавал User1 с правами администратора, а затем, после настройки SQLServerAgent, поменял права с администраторских на пользовательские. Или указал буджет User1 при установке SQL сервера и последний провел все необходимые изменения в разрешениях.
Есть подозрения, что бюджету User2 недоступны на запись некоторые ключи реестра с настройкой SQLServerAgent.
|
| | | | | |
Честно говоря, природу user1 я помню не очень хорошо. Какие... 24.05.05 16:30
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> Возможно ты создавал User1 с правами администратора, а > затем, после настройки SQLServerAgent, поменял права с > администраторских на пользовательские. Или указал буджет > User1 при установке SQL сервера и последний провел все > необходимые изменения в разрешениях. Честно говоря, природу user1 я помню не очень хорошо. Какие необходимые изменения провёл SQL? У Microsoft есть статья о том, как запустить sql server не из-под администратора, а обычного пользователя. Вот я строго ей следовал. Хотя, может быть к sqlserveragent она не относится.
> Есть подозрения, что бюджету User2 недоступны на запись > некоторые ключи реестра с настройкой SQLServerAgent. Это вроде не должно мешать. Потому что я дал права на стоп\старт службы, вроде всё заработало. При этом никакого дополнительного доступа на запись в реестр user2 не получил.
|
| | | | | | |
Может это поможет (inside)? 24.05.05 19:53
Автор: Den <Denis> Статус: The Elderman
|
The domain account that you specify must be a member of the sysadmin role on the local instance of SQL Server.
Starting SQLServerAgent Service
|
| | | | | | | |
Такая роль у него есть. (других нет) Доступ ко всем базам только public и db_owner. 24.05.05 20:28
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
Если не секрет - для какой задачи MS SQL2k? 23.05.05 20:33
Автор: ВНЬ Статус: Незарегистрированный пользователь Отредактировано 23.05.05 20:38 Количество правок: 1
|
Если не секрет - для какой задачи MS SQL2k?
Случайно не 1С?
Если нет, то зачем вообще на винде SQL?
Т.е. о цели более крупной скажи (ну не люблю я M$ SQL ;-)
Правда для простой задачи кой-нть, и так, чтобы по-быстрому, сгодится и он.
|
| |
Аккаунты из AD, SQL Mail ,соответстенно, работающий с MS... 23.05.05 22:31
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> Если не секрет - для какой задачи MS SQL2k? Аккаунты из AD, SQL Mail ,соответстенно, работающий с MS Exchange
> Случайно не 1С? не 1С
> Если нет, то зачем вообще на винде SQL? Я другими не владею.
> Т.е. о цели более крупной скажи (ну не люблю я M$ SQL ;-) > Правда для простой задачи кой-нть, и так, чтобы > по-быстрому, сгодится и он. Да, задача не сложна.
|
|
|