SQL NT Account geht nicht mehr - Wo setze ich Account Passwort , oder ist besser einen anderen Account hinterlegen

Mitglied: itnirvana

itnirvana (Level 1) - Jetzt verbinden

12.01.2021, aktualisiert 13.01.2021, 832 Aufrufe, 11 Kommentare, 1 Danke

Hallo,

ich habe einen SQL Server installiert. Der hat Standardmässig einen NT Account hinterlegt.
Nun heute aus heiterem Himmel startet der SQL Dienst nicht mehr und ich finde den Account nirgends um das neu zu setzen. Siehe Printscreen.

SQL NT Account geht nicht mehr Wo setze ich Account Passwort , oder ist besser einen anderen Account hinterlegen ?
SA Account, Domain Service User , oder einen Lokalen Account. Was ist besser ?

sql_reporting_server - Klicke auf das Bild, um es zu vergrößern

Oder ist die correcte Vorgehensweise der Locale System Account ?

Gruss
Jonas
Mitglied: tagol.de
12.01.2021 um 16:57 Uhr
Zitat von itnirvana:
SQL NT Account geht nicht mehr Wo setze ich Account Passwort , oder ist besser einen anderen Account hinterlegen ?
SA Account, Domain Service User , oder einen Lokalen Account. Was ist besser ?

am besten sowenig rechte wie moeglich
muss der dienst aufs netzwerk zugreifen? wenn nein, lokaler user bzw. domain user mit wenig rechten

Windows Dienst SQL
Bitte warten ..
Mitglied: itnirvana
12.01.2021 um 16:59 Uhr
Hallo,

obendrauf ist ein Report Server am laufen. Wäre der SA User dann ok ?

Gruss
Jonas
Bitte warten ..
Mitglied: itnirvana
12.01.2021 um 17:04 Uhr
Hallo,

die Dienste würden eben auch als Local System starten. Ich weiss aber nicht, was das correcte Vorgehen ist.


Gruss
Jonas
Bitte warten ..
Mitglied: Dani
12.01.2021 um 17:08 Uhr
Moin,
wie es bereits @tagol.de geschrieben hat, so wenig Rechte wie möglich. Daher verstehe ich nicht deinen Vorschlag mit dem Benutzer SA? Abgesehen davon, kann dieser nicht als Benutzer für Windows Dienste benutzt werden. Der Grund dafür ist, dass es sich dabei um einen Benutzer, der ausschließlich in der Benutzerverwaltung des SQL Servers existiert.

Hier noch ein wenig Lesestoff für das Homeschooling: Windows Service Accounts and Permissions.


Gruß,
Dani
Bitte warten ..
Mitglied: cykes
12.01.2021, aktualisiert um 17:54 Uhr
Hi,

es wäre hilfreich, wenn Du die SQL-Server Version und Edition (Vollversion oder Express), die Du installiert hast, dazuschreiben würdest.

Ggf. hat der User MSSQL$<Instanzname> einfach nur das Recht zum Anmelden als Dienst verloren. Das wäre in der GPO zu konfigurieren.
Schau auch mal ins Eventlog, was dort beim Startversuch des Dienstes reingeschrieben wird in Bezug auf den Benutzer.

Gruß

cykes
Bitte warten ..
Mitglied: itnirvana
12.01.2021, aktualisiert um 17:40 Uhr
Hallo,

ja danke. Was eben komisch ist. Das man das installiert. Es funktioniert. 1 Tag später steht es . Und man kann die NT Accounts nicht neu setzen.
Für die Windows Dienste habe ich nun einen Lokalen User mit Adminrechten hinterlegt. Der hier als Service User fungiert. Ist dies correct ?
So kenne ich es eigentlich.

sql_server - Klicke auf das Bild, um es zu vergrößern

Gruss
Jonas
Bitte warten ..
Mitglied: cykes
12.01.2021 um 17:58 Uhr
Ob das so korrekt ist, kannst nur Du beantworten - laufen alle Dienste und hat Du mit der Anwendung Zugriff auf alles?

Ich würde es pauschal nicht so machen, sondern die genaue Ursache ermitteln und dazu die passende Lösung recherchieren.
So ist das Gefrikel, was Dir in x Tagen wieder auf die Füße fallen kann.
Bitte warten ..
Mitglied: jsysde
12.01.2021 um 21:53 Uhr
N'Abend.

Zitat von itnirvana:
[...]Ist dies correct ?
Nein. Ein Dienstkonto sollte (darf) keine Adminrechte auf dem Hostsystem haben. Als allerallerallerletztes sollte ein SQL-Server als "Local System" laufen - das ist in punkto Sicherheit der Supergau.

Wenn der Server AD-joined ist, sollte man einen Group Managed Service Account verwenden; wenn nicht AD-joined, dann einen lokalen User _ohne!_ Adminrechte.

Cheers,
jsysde
Bitte warten ..
Mitglied: itnirvana
13.01.2021 um 09:29 Uhr
Die Dienste laufen mit dem Network Browser Konto. Das ist gut so
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
13.01.2021 um 14:56 Uhr
Zitat von jsysde:

N'Abend.

Zitat von itnirvana:
[...]Ist dies correct ?
Nein. Ein Dienstkonto sollte (darf) keine Adminrechte auf dem Hostsystem haben. Als allerallerallerletztes sollte ein SQL-Server als "Local System" laufen - das ist in punkto Sicherheit der Supergau.

Wenn der Server AD-joined ist, sollte man einen Group Managed Service Account verwenden; wenn nicht AD-joined, dann einen lokalen User _ohne!_ Adminrechte.

Cheers,
jsysde
nun genau das tut ja der SQL Server, er legt bei der Installation genau so ein Konto an, das einzig und allein dafür da ist, lokal und auch nur innerhalb der SQL Server Installation bzw. in dem Stammverzeichnis für die Datenbanken zu arbeiten. Deshalb hat MS z.B. beim SQL Server Management Studio auch keine Optionen für den Zugriff auf Netzlaufwerke oder Shares eingebaut, z.B. bei Backups weil das Dienstekonto von solchen Stellen dann nichts lesen kann.
Und genau das Konto geht z.B. kaputt wenn der Server nachträglich eine Domäne joint.
Bitte warten ..
Mitglied: jsysde
13.01.2021 um 16:43 Uhr
Servus.

Zitat von GrueneSosseMitSpeck:
[...]Und genau das Konto geht z.B. kaputt wenn der Server nachträglich eine Domäne joint.
Ok, gut zu wissen - ich hab' eher selten mit Maschinen außerhalb eines AD zu tun, daher ist mir das noch nie aufgefallen. Wobei ich wohl auch niemals einen bereits laufenden SQL-Server "mal eben" domain-joinen würde... ;-) face-wink

Die Infos vom TE sind leider mehr als spärlich (ist die Kiste nun im AD oder nicht?), daher ist es schwierig, hier detaillierter zu antworten.

Cheers,
jsysde
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Heimnetzwerk für mobiles Arbeiten
Matthias182Vor 1 TagFrageNetzwerke14 Kommentare

Hallo zusammen, Die Corona Pandemie treibt viele Veränderungen, so auch bei uns. Seit Wochen arbeiten meine Frau und ich wieder von zu Hause. Und ...

Firewall
Pfsense plus für Geschäftskunden
Looser27Vor 21 StundenInformationFirewall13 Kommentare

Netgate wird in Zukunft die Open Source Firewall pfSense hauptsächlich als kommerzielle Version unter dem Namen pfSense Plus vermarkten. Die "Community Version" wird weiter ...

TK-Netze & Geräte
Hybrid-Telefon für Betrieb an ISDN- sowie VoIP-Anschluss
Datax87Vor 1 TagFrageTK-Netze & Geräte30 Kommentare

Hallo, ich habe eine Frage zu einer geplanten TK-Anlagen-Umstellung. An der betreffenden ISDN-TK-Anlage sind zurzeit 6 ISDN-Telefone angeschlossen. Der dazugehörige Telefon-/Internetanschluss ist zurzeit ein ...

Router & Routing
Wie DMZ ohne doppeltes NAT am VF-Kabel-Internetzugang realisieren?
OldermanVor 1 TagFrageRouter & Routing24 Kommentare

Hallo und guten Tag allerseits! Ich habe mich nach einiger Zeit des Lesens der aufschlussreichen und wertvollen Beiträge hier zum Thema echtes DMZ mit ...

Windows Systemdateien
Windows 10 Kernisolierung: Inkompatible Treiber entfernen
FrankVor 1 TagAnleitungWindows Systemdateien1 Kommentar

Hallo, Eigentlich wollte ich nur den Empfehlungen der Windows Sicherheit nachgehen und unter Einstellungen -> Windows Sicherheit -> Kernisolierung, die Speicher-Integrität einschalten. Die Kernisolierung ...

Vmware
ESXI 6.5 Fehlgeschlagen - Zugriff auf eine Datei nicht möglich, weil sie gesperrt ist
gelöst zeroblue2005Vor 1 TagFrageVmware5 Kommentare

Hallo Zusammen, da meint man es gut und dann geht es in die Hose Aber erst mal zum IST-Zustand: - ESXI 6.5 U1 (Standalone) ...

Batch & Shell
Benutzeranmeldung mit Einschränkung
gelöst FreeBSDVor 1 TagFrageBatch & Shell8 Kommentare

Hallo zusammen, ich habe da ein kleines Problemchen und zwar versuche ich mich im PowerShell einzulernen, habe da eine kleine Aufgabe bekommen, dennoch krieg ...

Webbrowser
Frage zu "Remote-Debugging"
neuundbesserVor 1 TagFrageWebbrowser4 Kommentare

Moin, ich bin seit ein Paar Monaten in einem Projekt indem ich einfache Themen in JS-Code erledigen muss. Habe mich mittlerweile etwas in das ...