Служба Windows работает как сетевая служба - как она аутентифицируется? Ломать изменения в W2K8?
Служба Windows, работающая как "Сетевая служба", взаимодействует со службами на других компьютерах (здесь: SQL Server и службы Analysis Services), используя проверку подлинности Windows. Для аутентификации мы должны предоставить разрешения учетной записи компьютера службы. Например, если служба работает на сервере MYSERVER в домене MYDOMAIN, она будет аутентифицироваться как "MYDOMAIN\MYSERVER$". - Я прав, пока?
Теперь вот мой вопрос: это все еще применяется при обращении к службе на том же компьютере? Или вместо аутентификации будет использоваться что-то вроде "NT AUTHORITY\Network Service" при подключении к локальной службе?
И: есть ли шанс, что это переломный переход с Windows 2003 на Windows 2008? У нас возникла реальная проблема в нашей системе, когда учетная запись смогла подключиться к локальным службам только с учетной записью компьютера, имеющей разрешения в W2K3. В W2K8 это, похоже, больше не работает: аутентификация локальных сервисов теперь не проходит, но все равно работает на удаленных машинах.
1 ответ
Локально NETWORK SERVICE будет аутентифицироваться как NT AUTHORITY\Network Service
Если вы хотите, чтобы ваш SQL касался локальных ресурсов (файлов, приложений, реестра и т. Д.), Не предоставляйте разрешения учетной записи службы. Вместо этого предоставьте их локальной группе учетной записи службы SQL Server, которая была автоматически создана во время установки, см. Раздел Учетные записи службы SQL Server: SQLServerMSSQLUser$<hostname>$<instancename>, где <hostname> имя компьютера хоста, на котором работает SQL Server и <instancename> имя экземпляра SQL Server (MSSQLSERVER для имени экземпляра по умолчанию).
Таким образом, вам не нужно изменять ACL при изменении учетной записи службы, поскольку изменение учетной записи службы SQL добавляет новую учетную запись в эту группу.