20
Windows Server. Berechtigungen bei Sicherheit Objektname zeigt NT SERVICE nicht an
Bei den Berechtigungen im Windows Server 2019 Standard soll das Dienstkonto des SQL-Servers hinzugefügt werden. Nach dem ich gefunden habe wie es in unserem speziellen fall heißt (auch gecheckt, dass der SERVER mit diesem Konto automatisch gestartet wird), versuche ich nun, dem Konto Rechte zu geben, wie in diversen Beiträge beschrieben. Nur: diese gehen immer davon aus, dass im NTFS als Objekt dieser Dienst ausgewählt werden kann. Er ist aber nicht auszuwählen, weil nicht angezeigt.
Hintergund ist, dass der SQL-SERVER auf einem anderen SERVER des Netzwerkes etwas erledigen soll und dort Zugriffsrechte benötigt. Das betreffende Verzeichnis für die geplante Rechtevergabe ist übrigens gemapt als Laufwerk T, gleicher Effekt ist aber auch bei UNC vorhanden (Dienstkonto nicht zu sehen). Andere User und Gruppen des Active Directory aber wie üblich vorhanden:
Was ist zu tun ?
Danke und Grüße von PCFJKG
Hintergund ist, dass der SQL-SERVER auf einem anderen SERVER des Netzwerkes etwas erledigen soll und dort Zugriffsrechte benötigt. Das betreffende Verzeichnis für die geplante Rechtevergabe ist übrigens gemapt als Laufwerk T, gleicher Effekt ist aber auch bei UNC vorhanden (Dienstkonto nicht zu sehen). Andere User und Gruppen des Active Directory aber wie üblich vorhanden:
Was ist zu tun ?
Danke und Grüße von PCFJKG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2290991090
Url: https://administrator.de/contentid/2290991090
Ausgedruckt am: 24.11.2024 um 03:11 Uhr
20 Kommentare
Neuester Kommentar
Moin,
Wenn du dich daran gehalten hast, welche Fehlermeldung bekommst du? Gerne auch mit Screenshot.
Gruß,
Dani
Bei den Berechtigungen im Windows Server 2019 Standard soll das Dienstkonto des SQL-Servers hinzugefügt werden. Nach dem ich gefunden habe wie es in unserem speziellen fall heißt (auch gecheckt, dass der SERVER mit diesem Konto automatisch gestartet wird), versuche ich nun, dem Konto Rechte zu geben, wie in diversen Beiträge beschrieben.
war der Beitrag auch dabei: Configure File System Permissions for Database Engine AccessWenn du dich daran gehalten hast, welche Fehlermeldung bekommst du? Gerne auch mit Screenshot.
Gruß,
Dani
Dani, danke, bist schön schnell. Zu Deinem Hinweis:
Using Windows Explorer, navigate to the file system location where the database files are stored. Right-click the file system folder, and then select Properties.
On the Security tab, select Edit, and then Add.
In the Select Users, Computer, Service Account, or Groups dialog box, select Locations, at the top of the location list, select your computer name, and then select OK.
In the Enter the object names to select box, type the name of the per-service SID name. To locate it, see Configure Windows Service Accounts and Permissions. (For the Database Engine per service SID name, use NT SERVICE\MSSQLSERVER for a default instance, or NT SERVICE\MSSQL$InstanceName for a named instance.)
ist das Problem, denn NT SERVICE\MSSQL$InstanceName for a named instance ist leider nicht zu finden, die SID hatte ich vorige Woche verwendet und die daraufhin erzeugte Meldung erklärte, diese nicht zu kennen. Ich werde das aber gleich noch einmal probieren um zu vermeiden, dass sich in meiner Eingabe der SID ein Fehler eingeschlichen hat und melde mich, ggf. auch mit dem Screenshot. Zunächst vielen Dank und bis bald. PCFJKG
Using Windows Explorer, navigate to the file system location where the database files are stored. Right-click the file system folder, and then select Properties.
On the Security tab, select Edit, and then Add.
In the Select Users, Computer, Service Account, or Groups dialog box, select Locations, at the top of the location list, select your computer name, and then select OK.
In the Enter the object names to select box, type the name of the per-service SID name. To locate it, see Configure Windows Service Accounts and Permissions. (For the Database Engine per service SID name, use NT SERVICE\MSSQLSERVER for a default instance, or NT SERVICE\MSSQL$InstanceName for a named instance.)
ist das Problem, denn NT SERVICE\MSSQL$InstanceName for a named instance ist leider nicht zu finden, die SID hatte ich vorige Woche verwendet und die daraufhin erzeugte Meldung erklärte, diese nicht zu kennen. Ich werde das aber gleich noch einmal probieren um zu vermeiden, dass sich in meiner Eingabe der SID ein Fehler eingeschlichen hat und melde mich, ggf. auch mit dem Screenshot. Zunächst vielen Dank und bis bald. PCFJKG
Moin,
hast du beim Dialog, wo den Benutzer hinzufügen kannst,
a) Bei allen Objekttypen den Haken gesetzt.
b) Den Suchpfad auf dem lokalen Server geändert.
Gruß,
Dani
hast du beim Dialog, wo den Benutzer hinzufügen kannst,
a) Bei allen Objekttypen den Haken gesetzt.
b) Den Suchpfad auf dem lokalen Server geändert.
Gruß,
Dani
Hallo Dani,
anbei mein Problem:
Grüße von PCFJKG
anbei mein Problem:
Grüße von PCFJKG
Hallo Dani,
Suchpfad ändern auf Gesamtes Verzeichnis hilft nicht. Muss ich ggf. zwingend diesen Dienst als user im AD anlegen (wobei mir nicht klar ist, wie ich da vorgehen müsste...)
Grüße
PCFJKG
Suchpfad ändern auf Gesamtes Verzeichnis hilft nicht. Muss ich ggf. zwingend diesen Dienst als user im AD anlegen (wobei mir nicht klar ist, wie ich da vorgehen müsste...)
Grüße
PCFJKG
Moin,
Gruß,
Dani
Suchpfad ändern auf Gesamtes Verzeichnis hilft nicht.
Warum auf das gesamte Verzeichnis? Du hast geschrieben, dass es sich um einen Benutzer handelt, welcher der SQL-Server nutzt. Dann musst du den lokalen Computer auswählen.Gruß,
Dani
Hi,
das stimmt, aber eigentlich ist "Gesamtes Verzeichnis" ja keine Einschränkung, welche hier stört (meine ich ?). Sorry, ich hatte noch eine Frage in den vorherigen Kommentar geschrieben, deshalb hier: Muss ich ggf. zwingend diesen Dienst als user im AD anlegen (wobei mir nicht klar ist, wie ich da vorgehen müsste...)
das stimmt, aber eigentlich ist "Gesamtes Verzeichnis" ja keine Einschränkung, welche hier stört (meine ich ?). Sorry, ich hatte noch eine Frage in den vorherigen Kommentar geschrieben, deshalb hier: Muss ich ggf. zwingend diesen Dienst als user im AD anlegen (wobei mir nicht klar ist, wie ich da vorgehen müsste...)
Moin,
Gruß,
Dani
das stimmt, aber eigentlich ist "Gesamtes Verzeichnis" ja keine Einschränkung
natürlich ist das eine Einschränkung. Nämlich ob im AD oder auf dem lokalen Computer nach dem Benutzer suchen soll. Da du von NT Service... gesprochen hast, handelt es sich in 99% der Fälle um ein Konto auf dem lokalen Computer.Muss ich ggf. zwingend diesen Dienst als user im AD anlegen (wobei mir nicht klar ist, wie ich da vorgehen müsste...)
Das hängt davon ab, was der Dienst bzw. der Benutzer tun sollen darf und wie hoch das Thema Sicherheit bei euch im Kurs steht.Gruß,
Dani
Hallo Dani,
ich habe das mir Mögliche versucht und bekomme es nicht hin. Ggf. muss ich noch einmal von vorn und gründlicher lesen, was hier getan werden soll. Ich danke Dir für Deine Zeit und Hilfe und wünsche noch einen schönes Rest-Wochenende.
Herzliche Grüße
PCFJKG
ich habe das mir Mögliche versucht und bekomme es nicht hin. Ggf. muss ich noch einmal von vorn und gründlicher lesen, was hier getan werden soll. Ich danke Dir für Deine Zeit und Hilfe und wünsche noch einen schönes Rest-Wochenende.
Herzliche Grüße
PCFJKG
Icacls zur Rechtevergabe auf der Kommandozeile kann auch mit der SID arbeiten, das läuft bestimmt.
Hallo DerWoWusste,
danke, dass Du das Thema aufgegriffen hast. Ich habe noch nicht mit Icacls gearbeitet, der erste "Blick" bei google ist recht verwirrend bzw. zeigt mir, dass nun erst einmal Aufwand zum "einsteigen" nötig ist - was auch zu erwarten war. Wenn es das Problem löst ist es prima, auch wenn ich mir eine Standardvariante (AD, Objekt im NTFS) gewünscht hätte. Egal, wenn es nur funktioniert.
Also: Zunächst noch einmal danke und evtl. bis bald
PCFJKG
danke, dass Du das Thema aufgegriffen hast. Ich habe noch nicht mit Icacls gearbeitet, der erste "Blick" bei google ist recht verwirrend bzw. zeigt mir, dass nun erst einmal Aufwand zum "einsteigen" nötig ist - was auch zu erwarten war. Wenn es das Problem löst ist es prima, auch wenn ich mir eine Standardvariante (AD, Objekt im NTFS) gewünscht hätte. Egal, wenn es nur funktioniert.
Also: Zunächst noch einmal danke und evtl. bis bald
PCFJKG
Austesten geht doch in Minuten.
Icacls c:\test /grant *S-1-1-0:f
(Durch deine Sid ersetzen)
Icacls c:\test /grant *S-1-1-0:f
(Durch deine Sid ersetzen)
Hallo DerWoWusste,
das hat man halt, wenn man den Auftrag hat (bzw. die Erlaubnis), bei diesem Wetter im Garten zu arbeiten. Hätte längst testen können.
Ergebnis wie folgt:
Icacls C:\test /grant S-1-5-80-4248528499-3093927-3210700183-3345618970-3539045678:f
S-1-5-80-4248528499-3093927-3210700183-3345618970-3539045678: Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.
0 Dateien erfolgreich verarbeitet, bei 1 Dateien ist ein Verarbeitungsfehler aufgetreten.
Frage: gehört :f zur Syntax oder ist es Bestandteil Deiner SID ?
Ohne :f folgende Message:
Icacls C:\test /grant S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567
Ungültiger Parameter: "S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567"
Beste Grüße
PCFJKG
das hat man halt, wenn man den Auftrag hat (bzw. die Erlaubnis), bei diesem Wetter im Garten zu arbeiten. Hätte längst testen können.
Ergebnis wie folgt:
Icacls C:\test /grant S-1-5-80-4248528499-3093927-3210700183-3345618970-3539045678:f
S-1-5-80-4248528499-3093927-3210700183-3345618970-3539045678: Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.
0 Dateien erfolgreich verarbeitet, bei 1 Dateien ist ein Verarbeitungsfehler aufgetreten.
Frage: gehört :f zur Syntax oder ist es Bestandteil Deiner SID ?
Ohne :f folgende Message:
Icacls C:\test /grant S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567
Ungültiger Parameter: "S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567"
Beste Grüße
PCFJKG
Das Sternchen vor der SID hast Du übersehen.
Dachte ich erst auch, aber
C:\Users\administrator.DVZ>Icacls C:\test /grant *S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567:f
*S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567: Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.
0 Dateien erfolgreich verarbeitet, bei 1 Dateien ist ein Verarbeitungsfehler aufgetreten.
ohne f:
C:\Users\administrator.DVZ>Icacls C:\test /grant *S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567
Ungültiger Parameter: "*S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567"
Ich hoffe, die SID stimmt. Gefunden habe ich sie mit
sc showsid "NT MSSQLSERVER$Instanzname"
Dabei wird als Zusatzinfo ausgegeben-> STATUS: Inaktiv (sollte aber für den hier zu lösenden Sachverhalt nichts zu bedeuten haben).
C:\Users\administrator.DVZ>Icacls C:\test /grant *S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567:f
*S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567: Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.
0 Dateien erfolgreich verarbeitet, bei 1 Dateien ist ein Verarbeitungsfehler aufgetreten.
ohne f:
C:\Users\administrator.DVZ>Icacls C:\test /grant *S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567
Ungültiger Parameter: "*S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567"
Ich hoffe, die SID stimmt. Gefunden habe ich sie mit
sc showsid "NT MSSQLSERVER$Instanzname"
Dabei wird als Zusatzinfo ausgegeben-> STATUS: Inaktiv (sollte aber für den hier zu lösenden Sachverhalt nichts zu bedeuten haben).
Umd mit "NT MSSQLSERVER$Instanzname" statt *SID will's auch nicht gehen? (in "")
Hallo DerWoWusste,
ich habe jetzt früh probiert, Fehler lautet --> Ungültiger Parameter: "NT MSSQLSERVER$...........".
Möglicherweise liegt aber die Ursache auch ganz wo anders, z.B. ist evtl. irgendwo bei den Sicherheitsrichtlinien eine Einstellung zu ändern. Bei MS ist die Bezeichnung des Fehlers - vielleicht auch des obigen - nicht immer hilfreich bzw. ursächlich zutreffend. Mal sehen. Im Moment komme ich nicht wirklich weiter. Danke auf alle Fälle für Deine Ideen und Deine Zeit. Sollte ich einen neuen Ansatz finden, melde ich mich. Zunächst aber eine schöne Woche wünscht
PCFJKG
ich habe jetzt früh probiert, Fehler lautet --> Ungültiger Parameter: "NT MSSQLSERVER$...........".
Möglicherweise liegt aber die Ursache auch ganz wo anders, z.B. ist evtl. irgendwo bei den Sicherheitsrichtlinien eine Einstellung zu ändern. Bei MS ist die Bezeichnung des Fehlers - vielleicht auch des obigen - nicht immer hilfreich bzw. ursächlich zutreffend. Mal sehen. Im Moment komme ich nicht wirklich weiter. Danke auf alle Fälle für Deine Ideen und Deine Zeit. Sollte ich einen neuen Ansatz finden, melde ich mich. Zunächst aber eine schöne Woche wünscht
PCFJKG
Ich glaube, ich weiß nun Bescheid.
Da dein sc showsid "inaktiv" zurückliefert, sag mir das, dass dieses Konto nicht für einen Dienst genutzt wird. Was der Befehl ausgibt, ist (soweit ich weiß) eine SID, die dieser Dienstname bekommen würde.
Liefere mir mal einen Screenshot des services.msc, aus dem das verwendete Konto hervorgeht - steht da nicht eher
NT Service\MSSQLSERVER$blabla
?
Da dein sc showsid "inaktiv" zurückliefert, sag mir das, dass dieses Konto nicht für einen Dienst genutzt wird. Was der Befehl ausgibt, ist (soweit ich weiß) eine SID, die dieser Dienstname bekommen würde.
Liefere mir mal einen Screenshot des services.msc, aus dem das verwendete Konto hervorgeht - steht da nicht eher
NT Service\MSSQLSERVER$blabla
?
Hallo DerWoWusste, hier der Shot ...
Dann musst Du nur mit diesem Namen arbeiten.
Icacls c:\test /grant "NT Service\MSSQL$DVZ"
Das klappt bestimmt.
Icacls c:\test /grant "NT Service\MSSQL$DVZ"
Das klappt bestimmt.
