6
User-Berechtigungen fuer MSSQL
Hi Leute,
gerade ist mir aufgefallen das mein MSSQL Service mit lokalen Adminrechten läuft - sprich es gibt einen eigens dafür angelegten SQL-User der Domänenmitglied ist. Dieser Account wuirde in die lokale Administratorengruppe aufgenommen.
Da dies sicherheitstechnisch falsch ist, möchte ich nun gerne wissen was die beste Alternative ist???
1. Kann ich den Domänenuser weiterhin verwenden?
2. Falls ja, welche Rechte muss ich ihm erteilen?
gerade ist mir aufgefallen das mein MSSQL Service mit lokalen Adminrechten läuft - sprich es gibt einen eigens dafür angelegten SQL-User der Domänenmitglied ist. Dieser Account wuirde in die lokale Administratorengruppe aufgenommen.
Da dies sicherheitstechnisch falsch ist, möchte ich nun gerne wissen was die beste Alternative ist???
1. Kann ich den Domänenuser weiterhin verwenden?
2. Falls ja, welche Rechte muss ich ihm erteilen?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 281620
Url: https://administrator.de/forum/user-berechtigungen-fuer-mssql-281620.html
Ausgedruckt am: 10.04.2025 um 20:04 Uhr
6 Kommentare
Neuester Kommentar
Moin,
der MSDN-Artikel sollte alle deine Fragen beantworten:
https://msdn.microsoft.com/en-us/library/ms191543.aspx
lg,
Slainte
der MSDN-Artikel sollte alle deine Fragen beantworten:
https://msdn.microsoft.com/en-us/library/ms191543.aspx
lg,
Slainte
Moin.
"Falsch" ist hier falsch.
Es kann durchaus Umgebungen/Szenarien geben, in denen der SQL-Dienst diese Rechte benötigt - klar, Best Practice isses nicht, aber du solltest vor einer Änderung an dem Account eben evaluieren, was es mit dem User auf sich hat.
Cheers,
jsysde
"Falsch" ist hier falsch.
Es kann durchaus Umgebungen/Szenarien geben, in denen der SQL-Dienst diese Rechte benötigt - klar, Best Practice isses nicht, aber du solltest vor einer Änderung an dem Account eben evaluieren, was es mit dem User auf sich hat.
Cheers,
jsysde
Moin,
Gruß,
Dani
Es kann durchaus Umgebungen/Szenarien geben, in denen der SQL-Dienst diese Rechte benötigt
Praktisches Beispiel: Die Datenbank-Sicherungen werden auf ein Netzlaufwerk gespeichert.Gruß,
Dani
@Dani: erklär mal bitte. Systemkonten in Domänen haben Netzwerkzugriff.
N'Abend.
@DerWoWusste:
Wenn du nen Windows-Server hast, auf den du per UNC-Pfad sicherst, klappt das - richtig.
Aber es gibt auch Datenbanken bzw. Applikationen, aus deren GUI heraus Datenbanken gesichert werden können (oder müssen) und die setzen teilweise im Kontext des SQL-Users gemapptes Netzlaufwerk voraus (per cmd_exec). Und um dessen Rechte einzuschränken bzw. dem Backup-Skript auf dem Ziel die Berechtigung zum Ändern von NTFS-Rechten bzw. deren Auflistung zu ermöglichen, muss der SQL-Server mit Admin-Rechten laufen.
Ich weiß, da klatscht man sich vor's Hirn, aber es gibt Anwendungsentwickler, die solchen Murks fabrizieren und es nur so umgesetzt werden kann.
Weiterer Punkt wären bestimmte NAS-Systeme, die sich per UNC-Pfad nicht ansprechen lassen etc.
Cheers,
jsysde
@DerWoWusste:
Wenn du nen Windows-Server hast, auf den du per UNC-Pfad sicherst, klappt das - richtig.
Aber es gibt auch Datenbanken bzw. Applikationen, aus deren GUI heraus Datenbanken gesichert werden können (oder müssen) und die setzen teilweise im Kontext des SQL-Users gemapptes Netzlaufwerk voraus (per cmd_exec). Und um dessen Rechte einzuschränken bzw. dem Backup-Skript auf dem Ziel die Berechtigung zum Ändern von NTFS-Rechten bzw. deren Auflistung zu ermöglichen, muss der SQL-Server mit Admin-Rechten laufen.
Ich weiß, da klatscht man sich vor's Hirn, aber es gibt Anwendungsentwickler, die solchen Murks fabrizieren und es nur so umgesetzt werden kann.
Weiterer Punkt wären bestimmte NAS-Systeme, die sich per UNC-Pfad nicht ansprechen lassen etc.
Cheers,
jsysde
vielen vielen Dank! Ihr habt mir sehr weitergeholfen
