138906
Feb 19, 2019
3464
6
0
Server 2016 - notwendige Rechte für Software-Installation
Hallo zusammen,
ich habe in dieser Community schon viele hilfreiche Tipps gefunden - danke dafür
Jetzt wende ich mich mit einer Frage an Euch, die ich mir nach viel Sucherei immer noch nicht beantworten konnte.
Situation
WS 2016 Server Standard mit Hyper-V
=> ebenfalls 1x WS 2016 Server Standard (in Domäne eingebunden)
Auf dem OS im Hyper-V soll SQL Server 2016 od. 2017 installiert werden.
Da die Installation Teil eines unfangreichen Software-Pakets wird,
soll der Dienstleister die Installation und Einrichtung auf dem Hyper-V selbst vornehmen.
Das Benutzerkonto auf dem Hyper-V ist bereits der Administratoren-Gruppe der Domäne zugeordnet.
Dennoch erfordert jeder Installationsversuch "erhöhte Rechte".
Klar - als Domänen-Admin funktioniert es, aber es gibt doch sicher einen anderen Weg?
Schon mal vielen Dank für Eure Mühe vorab.
ich habe in dieser Community schon viele hilfreiche Tipps gefunden - danke dafür
Jetzt wende ich mich mit einer Frage an Euch, die ich mir nach viel Sucherei immer noch nicht beantworten konnte.
Situation
WS 2016 Server Standard mit Hyper-V
=> ebenfalls 1x WS 2016 Server Standard (in Domäne eingebunden)
Auf dem OS im Hyper-V soll SQL Server 2016 od. 2017 installiert werden.
Da die Installation Teil eines unfangreichen Software-Pakets wird,
soll der Dienstleister die Installation und Einrichtung auf dem Hyper-V selbst vornehmen.
Das Benutzerkonto auf dem Hyper-V ist bereits der Administratoren-Gruppe der Domäne zugeordnet.
Dennoch erfordert jeder Installationsversuch "erhöhte Rechte".
Klar - als Domänen-Admin funktioniert es, aber es gibt doch sicher einen anderen Weg?
Schon mal vielen Dank für Eure Mühe vorab.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 419321
Url: https://administrator.de/contentid/419321
Printed on: April 25, 2024 at 16:04 o'clock
6 Comments
Latest comment
Hallo,
soll der SQl Server auf dem Hyper-V Host eingerichtet werden?
Das ist EPIC fail.
Oder soll diese Instalaltion in der hyper-V VM erfolgen.
Dann gibst Du dem Dienstleister nicht lokale Adminberechtigungen, indem Du diesen dort auf dem zu installierenden Server einrichtest?
Gruss Penny
soll der SQl Server auf dem Hyper-V Host eingerichtet werden?
Das ist EPIC fail.
Oder soll diese Instalaltion in der hyper-V VM erfolgen.
Dann gibst Du dem Dienstleister nicht lokale Adminberechtigungen, indem Du diesen dort auf dem zu installierenden Server einrichtest?
Gruss Penny
Moin ,
Man gibt dem Dienstleister keine domänenweiten Adminrechte, sondern maximal lokale Adminrechte auf dem einen Server.
Im Anschluss wird das Nutzerkonto wieder deaktiviert.
Und beschäftige dich mal mit der UAC im Windows im allgemeinen . Dann weisst du warum die Abfrage vor einer Installation ( welche erhöhte Rechte benötigt ) extra noch einmal eine Meldung kommt.
Und ich hoffe mal das der SQL in dem Fall auf eine VM installiert wird.
Gruss
Man gibt dem Dienstleister keine domänenweiten Adminrechte, sondern maximal lokale Adminrechte auf dem einen Server.
Im Anschluss wird das Nutzerkonto wieder deaktiviert.
Und beschäftige dich mal mit der UAC im Windows im allgemeinen . Dann weisst du warum die Abfrage vor einer Installation ( welche erhöhte Rechte benötigt ) extra noch einmal eine Meldung kommt.
Und ich hoffe mal das der SQL in dem Fall auf eine VM installiert wird.
Gruss
Moin,
Ist es ein SQL Server Standard oder höher wird auch noch eine Windows Server Lizenz fällig. Zum Anderen gibt es die Virtualisierung, um externe Dienstleister wengistens in der VM einsperren zu können und somit nur das sieht, was ihn angeht.
Gruß,
Dani
Auf dem OS im Hyper-V soll SQL Server 2016 od. 2017 installiert werden.
Da die Installation Teil eines unfangreichen Software-Pakets wird, soll der Dienstleister die Installation und Einrichtung auf dem Hyper-V selbst vornehmen.
Setzen, 6. Ein Hyper-V ist ein Hyper-V und bleibt ein Hyper-V und kein Anwendungsserver.Da die Installation Teil eines unfangreichen Software-Pakets wird, soll der Dienstleister die Installation und Einrichtung auf dem Hyper-V selbst vornehmen.
Ist es ein SQL Server Standard oder höher wird auch noch eine Windows Server Lizenz fällig. Zum Anderen gibt es die Virtualisierung, um externe Dienstleister wengistens in der VM einsperren zu können und somit nur das sieht, was ihn angeht.
Das Benutzerkonto auf dem Hyper-V ist bereits der Administratoren-Gruppe der Domäne zugeordnet.
Sehr schön. Höher geht fast nicht mehr. Wo ist denn da die Sicherheit geblieben? Da kannst du auch gleich das Benutzerkonto der Domäne herausgeben.Dennoch erfordert jeder Installationsversuch "erhöhte Rechte".
Hast du es einmal über das Kontextmenü der Setupdatei versucht -> Als Administrator ausführen?!Gruß,
Dani
Danke für das, wenn auch teilweise unfreundliche, Feedback.
Die Installation erfolgt in der Hyper-VM - Server 2016 Standard + SQL Server Standard (jeweils mit Lizenz)
Natürlich sollen nur die nötigsten Rechte gegeben werden.
In einer lokalen Sicherheitsgruppe steht der Benutzer, der in der VM den SQL Server einrichten soll.
In GPO Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Eingeschränkte Gruppen
habe ich die Sicherheitsgruppe eingetragen.
Bei GPO Computerkonfiguration > Einstellungen > Windows-Einstellungen > Systemsteuerungseinstellungen > Lokale Benutzer und Gruppen
ist als Mitglied ebenfalls die Sicherheitsgruppe eingetragen. Im Reiter Gemeinsam die Zielgruppenadressierung auf Elementebene eingeschaltet und auf den zukünftigen Computernamen SQL-01 eingeschränkt.
Dennoch kann ich, natürlich nach Zuweisung der GPO, nachwievor keine Software installieren.
Ein testweises Deaktivieren der UAC in der VM hat daran auch nichts geändert.
Die Installation erfolgt in der Hyper-VM - Server 2016 Standard + SQL Server Standard (jeweils mit Lizenz)
Natürlich sollen nur die nötigsten Rechte gegeben werden.
In einer lokalen Sicherheitsgruppe steht der Benutzer, der in der VM den SQL Server einrichten soll.
In GPO Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Eingeschränkte Gruppen
habe ich die Sicherheitsgruppe eingetragen.
Bei GPO Computerkonfiguration > Einstellungen > Windows-Einstellungen > Systemsteuerungseinstellungen > Lokale Benutzer und Gruppen
ist als Mitglied ebenfalls die Sicherheitsgruppe eingetragen. Im Reiter Gemeinsam die Zielgruppenadressierung auf Elementebene eingeschaltet und auf den zukünftigen Computernamen SQL-01 eingeschränkt.
Dennoch kann ich, natürlich nach Zuweisung der GPO, nachwievor keine Software installieren.
Ein testweises Deaktivieren der UAC in der VM hat daran auch nichts geändert.
Hallo,
Hast du schon mal in das Ereignissprotokoll des Servers (deine neue VM) geschaut was dort eingetragen wird wenn du etwas Installieren willst? Ist dieser neue Server (deine neue VM) in eine rWorkgroup oder schon ein Domänen Member? Es gibt aber immer noch den lokalen Administrator sofern das kein DC ist. Nutze eine Kopie von diesem und lösche es nachdem der Dienstleister Fertig ist. Ist mit den Dienstleister abgesprochen welche Konten in deiner Domäne benötigt werden und mit welchen Rechten?
Gruß,
Peter
Zitat von @138906:
Natürlich sollen nur die nötigsten Rechte gegeben werden.
nachwievor keine Software installieren.
Und wenn du falsch getankt hast fragst du auch die Kassiererin bei Aldi warum dein Auto nicht mehr tut? Sollen wir uns deine Mekdungen jetzt alle selber bauen und uns für irgendeine entscheiden oder willst du uns nicht sagen was dort steht und du mit deinen Worten als "Geht nicht" interpretierst?Natürlich sollen nur die nötigsten Rechte gegeben werden.
nachwievor keine Software installieren.
Hast du schon mal in das Ereignissprotokoll des Servers (deine neue VM) geschaut was dort eingetragen wird wenn du etwas Installieren willst? Ist dieser neue Server (deine neue VM) in eine rWorkgroup oder schon ein Domänen Member? Es gibt aber immer noch den lokalen Administrator sofern das kein DC ist. Nutze eine Kopie von diesem und lösche es nachdem der Dienstleister Fertig ist. Ist mit den Dienstleister abgesprochen welche Konten in deiner Domäne benötigt werden und mit welchen Rechten?
Ein testweises Deaktivieren der UAC in der VM hat daran auch nichts geändert.
Keine gute Wahl und als Admin schon gar nicht.Gruß,
Peter
Warum machste dir denn das Leben so schwer ?
Du erstellt einen Blanko neuen User in der AD in einer neue OU.
Dienstleister 1 z.B.
Dann gehst du in die Computerverwaltung des du administrierenden Servers (SQL-01).
und trägst das AD Konto Dienstleister 1 dort bei den Administratoren ein.
Wenn Dienstleister fertig ist , deaktivierst du das AD Konto bis zum nächsten Einsatz und fertig.
UAC sollte natürlich eingeschaltet bleiben.
Gruss
Du erstellt einen Blanko neuen User in der AD in einer neue OU.
Dienstleister 1 z.B.
Dann gehst du in die Computerverwaltung des du administrierenden Servers (SQL-01).
lokale Benutzer und Gruppen
Gruppen
Gruppen
und trägst das AD Konto Dienstleister 1 dort bei den Administratoren ein.
Wenn Dienstleister fertig ist , deaktivierst du das AD Konto bis zum nächsten Einsatz und fertig.
UAC sollte natürlich eingeschaltet bleiben.
Gruss
