SQL 服務帳戶組策略權限
我正在嘗試建立在組策略中配置服務帳戶權限的最佳實踐標準。根據 Microsoft 文件,SQL Server 安裝程序請求 SQL Server 組件使用的每個服務 SID 或本地 Windows 組的權限。例如
SQL Server 數據庫引擎:
預設實例:NT SERVICE\MSSQLSERVER.Named 實例:NT Service\MSSQL$<instance_name> 在 SQL Server 安裝過程中被授予以下權限。本地組策略權限在使用者權限分配下可見。
· 作為服務登錄(SeServiceLogonRight)
·替換一個程序級令牌(SeAssignPrimaryTokenPrivilege)
· 繞過遍歷檢查(SeChangeNotifyPrivilege)
·調整程序的記憶體配額(SeIncreaseQuotaPrivilege)
SQL Server 代理
預設實例:NT Service\SQLSERVERAGENT。命名實例:NT 命名實例:NT Service\SQLAGENT$<instance_name>.) 在安裝過程中被授予以下權限。
·作為服務登錄(SeServiceLogonRight)
· 替換一個程序級令牌(SeAssignPrimaryTokenPrivilege)
·繞過遍歷檢查(SeChangeNotifyPrivilege)
·調整程序的記憶體配額(SeIncreaseQuotaPrivilege)
我還注意到,在設置過程中,SQL 服務和代理啟動帳戶也被自動授予“作為服務登錄”權限。
問題
是否有人使用域級組策略將上述權限應用於服務啟動帳戶(例如 gMSA)+ 每個服務 SID?嘗試確定使用域組策略在 SQL Server VM 上強制執行這些權限而不是依賴於安裝期間 SQL Server 分配的本地組策略權限是否有任何好處?
嘗試確定使用域組策略在 SQL Server VM 上強制執行這些權限是否有任何好處,而不是依賴於 SQL Server 在安裝期間分配的本地組策略權限
沒有任何。安裝程序授予每個服務 SID 所需的權限。並且任何可選權限(如執行卷維護任務、鎖定記憶體頁面或網路共享權限)同樣應授予每個服務 SID(或電腦帳戶),以便服務帳戶更改不會破壞任何內容。
除了登錄權限之外,服務帳戶不需要任何其他權限。
感謝您的回复,這有助於使事情更清楚:) 例如,如果服務帳戶在名為 TESTLAB\SQLgMSA$ 的 gMSA 帳戶下執行。
https://i.stack.imgur.com/ZOlC0.png
上面的 gMSA 帳戶除了“作為服務登錄”之外不需要任何其他權限是否正確?確認這意味著數據庫引擎將通過每個服務 SID “NT SERVICE\MSSQL$INST0_2017” 獲取其餘權限,例如(替換程序級令牌、繞過遍歷檢查等)?