pcfjkg
Goto Top

Windows Server. Berechtigungen bei Sicherheit Objektname zeigt NT SERVICE nicht an

Bei den Berechtigungen im Windows Server 2019 Standard soll das Dienstkonto des SQL-Servers hinzugefügt werden. Nach dem ich gefunden habe wie es in unserem speziellen fall heißt (auch gecheckt, dass der SERVER mit diesem Konto automatisch gestartet wird), versuche ich nun, dem Konto Rechte zu geben, wie in diversen Beiträge beschrieben. Nur: diese gehen immer davon aus, dass im NTFS als Objekt dieser Dienst ausgewählt werden kann. Er ist aber nicht auszuwählen, weil nicht angezeigt.
Hintergund ist, dass der SQL-SERVER auf einem anderen SERVER des Netzwerkes etwas erledigen soll und dort Zugriffsrechte benötigt. Das betreffende Verzeichnis für die geplante Rechtevergabe ist übrigens gemapt als Laufwerk T, gleicher Effekt ist aber auch bei UNC vorhanden (Dienstkonto nicht zu sehen). Andere User und Gruppen des Active Directory aber wie üblich vorhanden:
Was ist zu tun ?
Danke und Grüße von PCFJKG

Content-ID: 2290991090

Url: https://administrator.de/forum/windows-server-berechtigungen-bei-sicherheit-objektname-zeigt-nt-service-nicht-an-2290991090.html

Ausgedruckt am: 25.12.2024 um 08:12 Uhr

Dani
Dani 26.03.2022 um 13:11:03 Uhr
Goto Top
Moin,
Bei den Berechtigungen im Windows Server 2019 Standard soll das Dienstkonto des SQL-Servers hinzugefügt werden. Nach dem ich gefunden habe wie es in unserem speziellen fall heißt (auch gecheckt, dass der SERVER mit diesem Konto automatisch gestartet wird), versuche ich nun, dem Konto Rechte zu geben, wie in diversen Beiträge beschrieben.
war der Beitrag auch dabei: Configure File System Permissions for Database Engine Access

Wenn du dich daran gehalten hast, welche Fehlermeldung bekommst du? Gerne auch mit Screenshot.


Gruß,
Dani
PCFJKG
PCFJKG 26.03.2022 um 13:29:12 Uhr
Goto Top
Dani, danke, bist schön schnell. Zu Deinem Hinweis:
Using Windows Explorer, navigate to the file system location where the database files are stored. Right-click the file system folder, and then select Properties.

On the Security tab, select Edit, and then Add.

In the Select Users, Computer, Service Account, or Groups dialog box, select Locations, at the top of the location list, select your computer name, and then select OK.

In the Enter the object names to select box, type the name of the per-service SID name. To locate it, see Configure Windows Service Accounts and Permissions. (For the Database Engine per service SID name, use NT SERVICE\MSSQLSERVER for a default instance, or NT SERVICE\MSSQL$InstanceName for a named instance.)

ist das Problem, denn NT SERVICE\MSSQL$InstanceName for a named instance ist leider nicht zu finden, die SID hatte ich vorige Woche verwendet und die daraufhin erzeugte Meldung erklärte, diese nicht zu kennen. Ich werde das aber gleich noch einmal probieren um zu vermeiden, dass sich in meiner Eingabe der SID ein Fehler eingeschlichen hat und melde mich, ggf. auch mit dem Screenshot. Zunächst vielen Dank und bis bald. PCFJKG
Dani
Dani 26.03.2022 um 13:51:23 Uhr
Goto Top
Moin,
hast du beim Dialog, wo den Benutzer hinzufügen kannst,
a) Bei allen Objekttypen den Haken gesetzt.
b) Den Suchpfad auf dem lokalen Server geändert.


Gruß,
Dani
PCFJKG
PCFJKG 26.03.2022 um 13:58:15 Uhr
Goto Top
Hallo Dani,
anbei mein Problem:
sid mssql_server

Grüße von PCFJKG
PCFJKG
PCFJKG 26.03.2022 aktualisiert um 15:19:30 Uhr
Goto Top
Hallo Dani,
Suchpfad ändern auf Gesamtes Verzeichnis hilft nicht. Muss ich ggf. zwingend diesen Dienst als user im AD anlegen (wobei mir nicht klar ist, wie ich da vorgehen müsste...)

Grüße
PCFJKG
Dani
Dani 26.03.2022 um 15:00:48 Uhr
Goto Top
Moin,
Suchpfad ändern auf Gesamtes Verzeichnis hilft nicht.
Warum auf das gesamte Verzeichnis? Du hast geschrieben, dass es sich um einen Benutzer handelt, welcher der SQL-Server nutzt. Dann musst du den lokalen Computer auswählen.


Gruß,
Dani
PCFJKG
PCFJKG 26.03.2022 um 15:21:29 Uhr
Goto Top
Hi,
das stimmt, aber eigentlich ist "Gesamtes Verzeichnis" ja keine Einschränkung, welche hier stört (meine ich ?). Sorry, ich hatte noch eine Frage in den vorherigen Kommentar geschrieben, deshalb hier: Muss ich ggf. zwingend diesen Dienst als user im AD anlegen (wobei mir nicht klar ist, wie ich da vorgehen müsste...)
Dani
Dani 26.03.2022 um 15:50:38 Uhr
Goto Top
Moin,
das stimmt, aber eigentlich ist "Gesamtes Verzeichnis" ja keine Einschränkung
natürlich ist das eine Einschränkung. Nämlich ob im AD oder auf dem lokalen Computer nach dem Benutzer suchen soll. Da du von NT Service... gesprochen hast, handelt es sich in 99% der Fälle um ein Konto auf dem lokalen Computer.

Muss ich ggf. zwingend diesen Dienst als user im AD anlegen (wobei mir nicht klar ist, wie ich da vorgehen müsste...)
Das hängt davon ab, was der Dienst bzw. der Benutzer tun sollen darf und wie hoch das Thema Sicherheit bei euch im Kurs steht.


Gruß,
Dani
PCFJKG
PCFJKG 27.03.2022 um 10:01:01 Uhr
Goto Top
Hallo Dani,
ich habe das mir Mögliche versucht und bekomme es nicht hin. Ggf. muss ich noch einmal von vorn und gründlicher lesen, was hier getan werden soll. Ich danke Dir für Deine Zeit und Hilfe und wünsche noch einen schönes Rest-Wochenende.
Herzliche Grüße
PCFJKG
DerWoWusste
DerWoWusste 27.03.2022 um 10:49:14 Uhr
Goto Top
Icacls zur Rechtevergabe auf der Kommandozeile kann auch mit der SID arbeiten, das läuft bestimmt.
PCFJKG
PCFJKG 27.03.2022 um 11:47:48 Uhr
Goto Top
Hallo DerWoWusste,
danke, dass Du das Thema aufgegriffen hast. Ich habe noch nicht mit Icacls gearbeitet, der erste "Blick" bei google ist recht verwirrend bzw. zeigt mir, dass nun erst einmal Aufwand zum "einsteigen" nötig ist - was auch zu erwarten war. Wenn es das Problem löst ist es prima, auch wenn ich mir eine Standardvariante (AD, Objekt im NTFS) gewünscht hätte. Egal, wenn es nur funktioniert.
Also: Zunächst noch einmal danke und evtl. bis bald
PCFJKG
DerWoWusste
DerWoWusste 27.03.2022 aktualisiert um 13:30:55 Uhr
Goto Top
Austesten geht doch in Minuten.

Icacls c:\test /grant *S-1-1-0:f
(Durch deine Sid ersetzen)
PCFJKG
PCFJKG 27.03.2022 um 17:06:14 Uhr
Goto Top
Hallo DerWoWusste,
das hat man halt, wenn man den Auftrag hat (bzw. die Erlaubnis), bei diesem Wetter im Garten zu arbeiten. Hätte längst testen können.
Ergebnis wie folgt:
Icacls C:\test /grant S-1-5-80-4248528499-3093927-3210700183-3345618970-3539045678:f
S-1-5-80-4248528499-3093927-3210700183-3345618970-3539045678: Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.
0 Dateien erfolgreich verarbeitet, bei 1 Dateien ist ein Verarbeitungsfehler aufgetreten.
Frage: gehört :f zur Syntax oder ist es Bestandteil Deiner SID ?
Ohne :f folgende Message:
Icacls C:\test /grant S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567
Ungültiger Parameter: "S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567"
Beste Grüße
PCFJKG
DerWoWusste
DerWoWusste 27.03.2022 um 17:20:36 Uhr
Goto Top
Das Sternchen vor der SID hast Du übersehen.
PCFJKG
PCFJKG 27.03.2022 aktualisiert um 17:37:51 Uhr
Goto Top
Dachte ich erst auch, aber
C:\Users\administrator.DVZ>Icacls C:\test /grant *S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567:f
*S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567: Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.
0 Dateien erfolgreich verarbeitet, bei 1 Dateien ist ein Verarbeitungsfehler aufgetreten.
ohne f:
C:\Users\administrator.DVZ>Icacls C:\test /grant *S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567
Ungültiger Parameter: "*S-1-5-80-4248528499-3093927-3210700183-3345618970-353904567"

Ich hoffe, die SID stimmt. Gefunden habe ich sie mit
sc showsid "NT MSSQLSERVER$Instanzname"
Dabei wird als Zusatzinfo ausgegeben-> STATUS: Inaktiv (sollte aber für den hier zu lösenden Sachverhalt nichts zu bedeuten haben).
DerWoWusste
DerWoWusste 27.03.2022 um 21:01:43 Uhr
Goto Top
Umd mit "NT MSSQLSERVER$Instanzname" statt *SID will's auch nicht gehen? (in "")
PCFJKG
PCFJKG 28.03.2022 um 08:40:19 Uhr
Goto Top
Hallo DerWoWusste,
ich habe jetzt früh probiert, Fehler lautet --> Ungültiger Parameter: "NT MSSQLSERVER$...........".
Möglicherweise liegt aber die Ursache auch ganz wo anders, z.B. ist evtl. irgendwo bei den Sicherheitsrichtlinien eine Einstellung zu ändern. Bei MS ist die Bezeichnung des Fehlers - vielleicht auch des obigen - nicht immer hilfreich bzw. ursächlich zutreffend. Mal sehen. Im Moment komme ich nicht wirklich weiter. Danke auf alle Fälle für Deine Ideen und Deine Zeit. Sollte ich einen neuen Ansatz finden, melde ich mich. Zunächst aber eine schöne Woche wünscht
PCFJKG
DerWoWusste
DerWoWusste 28.03.2022 aktualisiert um 10:07:34 Uhr
Goto Top
Ich glaube, ich weiß nun Bescheid.

Da dein sc showsid "inaktiv" zurückliefert, sag mir das, dass dieses Konto nicht für einen Dienst genutzt wird. Was der Befehl ausgibt, ist (soweit ich weiß) eine SID, die dieser Dienstname bekommen würde.
Liefere mir mal einen Screenshot des services.msc, aus dem das verwendete Konto hervorgeht - steht da nicht eher
NT Service\MSSQLSERVER$blabla
?
PCFJKG
PCFJKG 28.03.2022 um 15:56:28 Uhr
Goto Top
Hallo DerWoWusste, hier der Shot ...
sql_server_screen
DerWoWusste
DerWoWusste 28.03.2022 um 16:39:35 Uhr
Goto Top
Dann musst Du nur mit diesem Namen arbeiten.

Icacls c:\test /grant "NT Service\MSSQL$DVZ"
Das klappt bestimmt.