Como gerenciar o direito de logon como serviço para conta virtual em face da política de grupo de domínio?

3

Eu gostaria de usar a configuração padrão do SQL Server que executa o serviço do SQL Server com a conta virtual NT SERVICE \ MSSQLSERVER. Isso garante que meu SQL Server tenha acesso limitado em sua própria máquina e nenhum acesso a recursos de rede, caso ele deva ser invadido. No entanto, nosso domínio também tem uma diretiva de grupo que define os direitos de logon como um serviço para vários outros (domínio).

Você provavelmente já adivinhou, ou talvez até mesmo experimentou, o meu problema:

Quando o GPO do domínio é aplicado ao servidor (pelo menos diariamente), ele desfaz a atribuição de direitos Fazer logon como um serviço feita pela instalação do SQL Server (ou o SQL Server Config Mgr ou outra configuração de política de máquina local). O estágio é definido para o erro "O serviço não foi iniciado" na próxima vez em que o serviço do SQL Server for reiniciado, o que pode levar horas ou meses depois.

Aqui está o que eu sei até agora:

  • Não consigo adicionar a conta virtual ao GPO do domínio porque é um SID local da máquina.
  • A Política de Grupo de Domínios substitui a política de grupos de máquinas locais, por isso vou ter de fazer algo sobre a política de grupos de domínios.

O elemento User Assignment (Atribuição de Direitos do Usuário) está em mil piedades, em Configurações do Computador \ Configurações do Windows \ Configurações de Segurança \ Configurações de Políticas Locais, porque não é possível fazer referência a contas de computadores locais. Talvez seja mesmo um bug.

Aqui estão as abordagens que estou considerando:

  • Eu poderia eliminar o elemento do GPO de domínio que se aplica ao Logon como A Serviço correto, e faça esta operação por meio da política de grupo local grupo de servidores).
  • Eu poderia mover o servidor para uma UO que não ter esse elemento de GPO aplicado. Atualmente, o GPO ofensivo é meu política de domínio padrão, então eu teria que refatorar as coisas.
  • Eu poderia executar alguma ferramenta em cada máquina do SQL Server para restabelecer a O direito de logon como um serviço após a execução da política de grupo de domínio ou com frequência suficiente para que eu raramente seja pego de surpresa.

Alguém tem outras sugestões ou soluções de trabalho para me oferecer?

    
por Bob Hyman 06.09.2017 / 14:32

3 respostas

0

O que eu acabei fazendo foi: remover o GPO que aplicava o logon como serviço correto e confiar em máquinas individuais para conceder o direito, conforme necessário, ao instalar serviços nessas máquinas.

Essa é uma solução bastante autorreguladora, já que services.msc concederá o direito a partir da página de propriedades quando você definir a senha da conta de serviço. E algo equivalente aparentemente acontece quando você instala aplicativos que precisam de um serviço.

    
por 13.12.2017 / 14:08
0

Eu vejo que ninguém respondeu ainda, então eu vou te dar meus 2 centavos.

Veja o que acho que tentaria:

  1. Crie uma nova OU chamada SQL Servers
  2. Mover o objeto de computador SQL para essa OU
  3. Crie um novo GPO chamado Logon do SQL como um serviço
  4. Adicione tudo da Política de domínio padrão
  5. Crie uma conta de serviço gerenciado no Active Directory
  6. Adicione a conta de serviço gerenciado à lista Fazer logon como um serviço

Aqui estão alguns links que achei que também podem ajudá-lo:

Configure as contas de serviço do Windows e Permissões
Conta de serviço do SQL Server Privilégios do Windows e direitos

    
por 08.09.2017 / 02:23
-1

Acesse seu GPO e adicione "NT SERVICE \ ALL SERVICES". Isso permitirá que todas as contas de serviço virtual sejam executadas.

    
por 20.09.2018 / 23:37