Sql-Server

SQL 服務帳戶組策略權限

  • August 25, 2022

我正在嘗試建立在組策略中配置服務帳戶權限的最佳實踐標準。根據 Microsoft 文件,SQL Server 安裝程序請求 SQL Server 組件使用的每個服務 SID 或本地 Windows 組的權限。例如

SQL Server 數據庫引擎:


預設實例:NT SERVICE\MSSQLSERVER.Named 實例:NT Service\MSSQL$<instance_name> 在 SQL Server 安裝過程中被授予以下權限。本地組策略權限在使用者權限分配下可見。

· 作為服務登錄(SeServiceLogonRight)

·替換一個程序級令牌(SeAssignPrimaryTokenPrivilege)

· 繞過遍歷檢查(SeChangeNotifyPrivilege)

·調整程序的記憶體配額(SeIncreaseQuotaPrivilege)

SQL Server 代理


預設實例:NT Service\SQLSERVERAGENT。命名實例:NT 命名實例:NT Service\SQLAGENT$<instance_name>.) 在安裝過程中被授予以下權限。

·作為服務登錄(SeServiceLogonRight)

· 替換一個程序級令牌(SeAssignPrimaryTokenPrivilege)

·繞過遍歷檢查(SeChangeNotifyPrivilege)

·調整程序的記憶體配額(SeIncreaseQuotaPrivilege)

我還注意到,在設置過程中,SQL 服務和代理啟動帳戶也被自動授予“作為服務登錄”權限。

問題


是否有人使用域級組策略將上述權限應用於服務啟動帳戶(例如 gMSA)+ 每個服務 SID?嘗試確定使用域組策略在 SQL Server VM 上強制執行這些權限而不是依賴於安裝期間 SQL Server 分配的本地組策略權限是否有任何好處?

嘗試確定使用域組策略在 SQL Server VM 上強制執行這些權限是否有任何好處,而不是依賴於 SQL Server 在安裝期間分配的本地組策略權限

沒有任何。安裝程序授予每個服務 SID 所需的權限。並且任何可選權限(如執行卷維護任務、鎖定記憶體頁面或網路共享權限)同樣應授予每個服務 SID(或電腦帳戶),以便服務帳戶更改不會破壞任何內容。

除了登錄權限之外,服務帳戶不需要任何其他權限。

感謝您的回复,這有助於使事情更清楚:) 例如,如果服務帳戶在名為 TESTLAB\SQLgMSA$ 的 gMSA 帳戶下執行。

https://i.stack.imgur.com/ZOlC0.png

上面的 gMSA 帳戶除了“作為服務登錄”之外不需要任何其他權限是否正確?確認這意味著數據庫引擎將通過每個服務 SID “NT SERVICE\MSSQL$INST0_2017” 獲取其餘權限,例如(替換程序級令牌、繞過遍歷檢查等)?

https://i.stack.imgur.com/wreGL.png

引用自:https://dba.stackexchange.com/questions/315980