Меню

Service accounts при установке

Настройка сервера — учетные записи служб Server Configuration — Service Accounts

На странице «Настройка сервера» мастера установки SQL Server SQL Server можно задать учетные записи входа для служб SQL Server SQL Server . Use the Server Configuration page of the SQL Server SQL Server Installation Wizard to assign login accounts to SQL Server SQL Server services. Службы, которые можно настраивать на этой странице, зависят от того, какие компоненты были выбраны во время установки. The actual services configured on this page depend on the features you have selected to install.

Стартовые учетные записи, используемые SQL Server SQL Server для запуска и запуска, могут представлять собой учетные записи пользователей домена, локальные учетные записи пользователей, управляемые учетные записи служб, виртуальные учетные записи или встроенные системные учетные записи. Startup accounts used to start and run SQL Server SQL Server can be domain user accounts, local user accounts, managed service accounts, virtual accounts, or built-in system accounts.

Параметры Options

Можно назначить одну учетную запись входа всем службам SQL Server SQL Server или настроить учетные записи служб индивидуально. You can assign the same login account to all SQL Server SQL Server services, or you can configure each service account individually. Можно также указать, будут службы запускаться автоматически или вручную либо будут отключены. You can also specify whether services start automatically, are started manually, or are disabled. В большинстве установок рекомендуется использовать учетную запись по умолчанию. The default account is recommended for most installations.

В Windows 7 и Windows Server 2008 Windows Server 2008 R2 большинство учетных записей по умолчанию представлены виртуальной учетной записью. On Windows 7 and Windows Server 2008 Windows Server 2008 R2 most accounts default to a virtual account.

При настройке служб с использованием учетных записей домена Microsoft Microsoft рекомендует настраивать учетные записи служб индивидуально, предоставляя каждой из служб SQL Server SQL Server минимальные права доступа, необходимые для выполнения ее задач. If you configure services to use domain accounts, Microsoft Microsoft recommends that you configure service accounts individually to provide least privileges for each service, where SQL Server SQL Server services are granted the minimum permissions they need to complete their tasks. Дополнительные сведения, в том числе описания типов учетных записей, см. в разделе Configure Windows Service Accounts and Permissions. For more information including descriptions of the types of accounts, see Configure Windows Service Accounts and Permissions.

Настройка SQL Server SQL Server учетных записей служб по отдельности (рекомендуется) Configure SQL Server SQL Server service accounts individually (recommended)
Для каждой из служб SQL Server SQL Server задайте в сетке имя и пароль пользователя для входа, а также тип запуска службы. Use the grid to provision each SQL Server SQL Server service with a logon user name and password, and to set the startup type for the service. Для служб SQL Server SQL Server можно указать системные или локальные учетные записи, локальные группы, группы доменов или учетные записи пользователей доменов. You can use built-in system accounts, a local account, local group, domain group, or domain user accounts for SQL Server SQL Server services.

Выберите службу, настройки которой требуется изменить. Select any of the following services to customize its settings.

Служба Select this service Настройки проверки подлинности To configure authentication settings for
SQL Server SQL Server Субагент Agent Служба, которая запускает задания, мониторы и SQL Server SQL Server , а также позволяет автоматизировать задачи администрирования. The service that executes jobs, monitors, SQL Server SQL Server , and allows automation of administrative tasks.

Для этой службы нет учетной записи входа по умолчанию. There is no default logon account for this service.

Тип запуска по умолчанию — «Вручную». The default startup type is Manual.

Компонент SQL Server Database Engine SQL Server Database Engine Тип запуска по умолчанию — «Авто». The default startup type is Automatic.
Службы Analysis Services Analysis Services Тип запуска по умолчанию — «Авто». The default startup type is Automatic.

Для режима интеграции с SharePoint следует указать учетную запись пользователя домена Windows. For SharePoint integrated mode, you must specify a Windows domain user account. Указанная учетная запись используется для службы Службы Analysis Services Analysis Services . The account you specify is used for the Службы Analysis Services Analysis Services service. Учетная запись, указанная для текущего экземпляра, также должна использоваться для дополнительных экземпляров служб Службы Analysis Services Analysis Services , которые, возможно, будут добавлены к ферме в будущем. The account you specify for the current instance must also be used for any additional Службы Analysis Services Analysis Services instances that you subsequently add to the same farm.

Службы Reporting Services Reporting Services Учетные записи служб используются для настройки соединения с базой данных сервера отчетов. Service accounts are used to configure a report server database connection. Если нужно использовать параметры проверки подлинности по умолчанию, выберите встроенную сетевую службу. Choose the built-in network service if you want to use default authentication settings. Если указывается учетная запись пользователя домена, убедитесь, что для него зарегистрировано имя участника-службы, если на сервере отчетов используется проверка подлинности Windows. If you specify a domain user account, be sure to register a service principle name (SPN) for it if you are using Windows Authentication on the report server. Дополнительные сведения см. в статье Configure Windows Authentication on the Report Server. For more information, see Configure Windows Authentication on the Report Server.

Тип запуска по умолчанию — «Авто». The default startup type is Automatic.

Службы Integration Services Integration Services
Службы Integration Services Integration Services представляют собой набор графических средств и программируемых объектов для перемещения, копирования и преобразования данных. Службы Integration Services Integration Services is a set of graphical tools and programmable objects for moving, copying, and transforming data.

Тип запуска по умолчанию — «Авто». The default startup type is Automatic.

SQL Server SQL Server Клиент распределенное воспроизведение Distributed Replay Client Учетная запись службы, используемая для службы клиента распределенного воспроизведения. The service account used for the Distributed Replay client service.

Укажите учетную запись, под которой будет запускаться служба клиента распределенного воспроизведения. Provide an account in which to run the Distributed Replay client service. Эта учетная запись должна отличаться от той, которая используется для службы SQL Server SQL Server . This account should be different from the account that you use for the SQL Server SQL Server service.

Тип запуска по умолчанию — «Вручную». The default startup type is Manual.

SQL Server SQL Server Контроллер распределенное воспроизведение Distributed Replay Controller Учетная запись, используемая для службы контроллера распределенного воспроизведения. The service account used for the Distributed Replay controller service.

Укажите учетную запись, под которой будет запускаться служба контроллера распределенного воспроизведения. Provide an account in which to run the Distributed Replay controller service. Эта учетная запись должна отличаться от той, которая используется для службы SQL Server SQL Server . This account should be different from the account that you use for the SQL Server SQL Server service.

Тип запуска по умолчанию — «Вручную». The default startup type is Manual.

SQL Server SQL Server средство запуска управляющей программы полнотекстовой фильтрации SQL Server SQL Server Full-text Filter Daemon Launcher Служба, которая создает процессы fdhost.exe. The service that creates the fdhost.exe processes. Она необходима для размещения средств разбиений по словам и фильтров, которые обрабатывают текстовые данные для полнотекстового индексирования. This is required to host the word breakers and filters that process textual data for full-text indexing.

Если для запуска службы FDHOST Launcher указывается учетная запись домена, настоятельно рекомендуется использовать учетную запись с низкими правами доступа. If you provide a domain account in which to run the FDHOST Launcher service, we highly recommend that you use a low privilege account. Эта учетная запись должна отличаться от той, которая используется для службы SQL Server SQL Server . This account should be different from the account that you use for the SQL Server SQL Server service.

SQL Server SQL Server Обозреватель Browser Браузер SQL Server SQL Server представляет службу разрешения имен, которая обеспечивает данные о соединении SQL Server SQL Server с клиентскими компьютерами. SQL Server SQL Server Browser is the name resolution service that provides SQL Server SQL Server connection information to client computers. Эта служба совместно используется множеством экземпляров SQL Server SQL Server и служб Службы Integration Services Integration Services . This service is shared across multiple SQL Server SQL Server and Службы Integration Services Integration Services instances. Учетная запись входа по умолчанию — NT Authority\Local Service, и она не может быть изменена в ходе установки SQL Server SQL Server . The default logon account is NT Authority\Local service and cannot be changed during SQL Server SQL Server setup. Учетную запись можно изменить после завершения установки. You can change the account after the setup has been completed. Если во время установки не указан тип запуска, он определяется следующим образом. If the startup type is not specified during setup, it is determined as follows:

Служба браузера SQL Server SQL Server настроена на автоматический запуск и работает в описанных ниже сценариях установки. SQL Server SQL Server Browser is set to Automatic and running in the installation scenarios described below:

SQL Server SQL Server экземпляр отказоустойчивого кластера failover cluster instance

Именованный экземпляр SQL Server SQL Server , если включен протокол TCP или NP. Named instance of SQL Server SQL Server where TCP or NP is enabled

Некластеризованный, именованный экземпляр сервера анализа данных. Named instance of Analysis Server and is not clustered

Если ни один из указанных выше сценариев не применим и браузер SQL Server SQL Server уже установлен, будет поддерживаться текущее состояние браузера SQL Server SQL Server . If none of the above scenarios apply, and SQL Server SQL Server Browser is already installed, the current state of SQL Server SQL Server Browser will be maintained.

источник

Управляемые учётные записи служб (Managed Service Accounts)

Есть способ, который позволяет узнать пароль администратора в случае, если какая-либо служба запускается от его имени.
Пароли учетных записей, от которых запускаются службы Windows, хранятся в зашифрованном виде в реестре (LSA Secrets) по пути:

Существуют способы, которые позволяют извлечь пароли из LSA Secrets:

  • Скопировать путь реестра во временный путь, а затем расшифровать зашифрованные пароли
  • Использовать теневые копии
  • Использовать специальные утилиты для работы с процессом lsass.exe

Попробуем получить пароль от учетной записи под которой запускается служба SQL Server.
Имеется:
Контроллер домена на Windows Server 2012 R2
SQL Server Express 2012
При установке SQL Server, для запуска службы, специально укажем существующую доменную учётную запись (пароль меньше 14 символов).

Воспользуемся утилитой gsecdump для извлечения паролей.
Запустим PowerShell от имени администратора и выполним команду: gsecdump-v2b5.exe -l
Результат:

Чтобы защититься от такого рода атак в Windows Server 2008 R2 был придуман механизм Managed Service Accounts.
Managed Service Accounts являются управляемыми учетными записями в домене, которые обеспечивают автоматическое управление паролями и упрощенное управление именами служб-участников, включая делегирование управления другим администраторам.
Преимущества управляемых учетных записей служб:

  • Автоматическая смена паролей. По умолчанию смена пароля – раз в 30 дней
  • Сложный пароль. Используется комплексный автоматически генерируемый пароль из 240 символов в случайном порядке (первая половина — буквы английского алфавита, вторая половина — цифры и другие символы)
  • Отсутствие избыточных прав
  • Возможность использования одного MSA на нескольких серверах (gMSA). В случае, когда требуется, чтобы все экземпляры служб использовали один и тот же субъект, например для использования в службе NLB
  • Управление SPN

Автоматическое обновление SPN при переименовании
— учетной записи сервера
— свойства dnshostname учетной записи сервера
— изменении свойства addition¬aldnshostname учетной записи сервера
— изменении свойства additionalsam¬accountname учетной записи сервера

Сервисы и службы, которые поддерживают MSA:

  • IIS
  • AD LDS
  • SQL Server 2008 R2 SP1, 2012
  • MS Exchange 2010, 2013

Требования MSA:

  • Уровень домена и леса – Windows Server 2008 R2
  • Windows Server 2008 R2, Windows 7 (Professional, Enterprise, Ultimate)
  • .Net Framework 3.5x
  • Модуль администрирования Active Directory для PowerShell
  • Установленный патч 2494158

Если лес и домен не имеют уровень 2008 R2 (MSA) и 2012 (gMSA) нужно поднять уровень леса командой:
adprep /forestprep
И уровень домена, командой:
adprep /domainprep в каждом домене, в котором необходимо создать и использовать управляемые учетные записи службы.

Включение MSA в PowerShell
1) Выполнить командлет: Import-Module ActiveDirectory
2) Чтобы создать учётную запись MSA нужно выполнить командлет:
New-ADServiceAccount serviceaccount –RestrictToSingleComputer
где serviceaccount – имя учетной записи MSA
RestrictToSingleComputer – параметр означает, что MSA будет привязан только к одному серверу.
Можно зайти в Active Directory Users and Computers и убедиться, что MSA был создан (чтобы появился раздел Managed Service Accounts, нужно включить в оснастке View — Advanced Features).

3) Чтобы привязать MSA к серверу нужно выполнить командлет:
Add-ADComputerServiceAccount -Identity server -ServiceAccount serviceaccount
где server – имя сервера, который будет соотнесён с MSA
serviceaccount – имя учетной записи MSA
Чтобы проверить, что операция выполнена успешно, нужно зайти в оснастку Active Directory Users and Computers, перейти в свойства сервера и посмотреть атрибут msDS-HostServiceAccount

4) Установка управляемой учетной записи службы на локальном компьютере
Нужно выполнить командлет:
Install-ADServiceAccount -Identity serviceaccount
где serviceaccount – имя учетной записи MSA
5) Тестирование MSA (Windows 8.1, Windows PowerShell 4.0, Windows Server 2012 R2)
Нужно выполнить командлет:
Test-ADServiceAccount serviceaccount
где serviceaccount – имя учетной записи MSA
Вернёт значение True или False
6) Установить для службы Windows запуск от имени MSA и перезапустить службу.
В конце имени MSA не забудьте указать знак $
Поле пароль нужно оставить пустым.

Проверим с помощью утилиты gsecdump пароль для учётной записи службы

В Windows Server 2012 появились Групповые управляемые учетные записи служб (Group Managed Service Accounts).
Они позволяют привязывать управляемую учетную запись не к одному серверу, а к нескольким.
Это может потребоваться, например, для использования в службе балансировки сетевой нагрузки.

Требования:

  • Уровень схемы – Windows Server 2012
  • Контроллер домена Windows Server 2012 (R2) на котором запущена служба Microsoft Key Distribution Service
  • Windows Server 2012, 2012 R2, 8, 8.1
  • Модуль администрирования Active Directory для PowerShell

Включение gMSA в PowerShell
1) Проверить, что включена служба Microsoft Key Distribution Services
“Служба распространения ключей использует общий секрет для создания ключей учетной записи. Эти ключи периодически изменяются. В дополнение к прочим атрибутам групповых управляемых учетных записей служб контроллер домена Windows Server 2012 вычисляет пароль для ключа, предоставленного службами распространения ключей. Обратившись к контроллеру домена Windows Server 2012, узлы Windows Server 2012 и Windows 8 могут получить текущий и предыдущий пароль.”
2) Создать Root Key
За создание Root Key отвечает командлет:
Add-KdsRootKey
Чтобы создать новый Root Key нужно выполнить командлет:
Add-KdsRootKey –EffectiveImmediately
В таком случае ключ будет доступен через 10 часов, пока не среплицируется.
Можно выполнить командлет:
Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
В таком случае, ключ будет доступен сразу (-10 часов начала работы)
3) Создать gMSA
Выполнить командлет:
New-ADServiceAccount serviceaccount -DNSHostName test.test.com –PrincipalsAllowedToRetrieveManagedPassword $test
где serviceaccount – имя учетной записи gMSA
test.test.com – имя сервера, на котором был создан Root Key
$test – имя сервера, который может обращаться к KDS для получения информации

Можно зайти в Active Directory Users and Computers и убедиться, что gMSA был создан (чтобы появился раздел Managed Service Accounts, нужно включить в оснастке View — Advanced Features).

4) Установка управляемой учетной записи службы на локальном компьютере
Нужно выполнить командлет:
Install-ADServiceAccount -Identity serviceaccount
где serviceaccount – имя учетной записи gMSA
5) Тестирование MSA (Windows 8.1, Windows PowerShell 4.0, Windows Server 2012 R2)
Нужно выполнить командлет:
Test-ADServiceAccount serviceaccount
где serviceaccount – имя учетной записи MSA
Вернёт значение True или False
6) Установить для службы Windows запуск от имени gMSA и перезапустить службу.
В конце имени gMSA не забудьте указать знак $
Поле пароль нужно оставить пустым.

Проверим с помощью утилиты gsecdump пароль для учётной записи службы

Удалить MSA/gMSA можно с помощью командлета Uninstall-ADServiceAccount

Задавать параметры MSA/gMSA можно с помощью командлета Set-ADServiceAccount
Задание периода смены пароля:
Set-ADServiceAccount serviceaccount -ManagedPasswordIntervalInDays 60
где serviceaccount – имя учетной записи gMSA
60 – период, через который сменится пароль
Задание криптоалгоритмов Kerberos для использования MSA
Варианты: RC4, AES128, AES256
Set-ADServiceAccount serviceaccount -KerberosEncryptionType RC4, AES128, AES256
Задание SPN
Set-ADServiceAccount serviceaccount -ServicePrincipalNames @

Задание NetBIOS имени для сервиса (SAMAccountName)
Если не задано, используется идентификатор Name
Если задано, имя отображения в AD будет из Name, а идентификатор для логина из SAMAccountName
Set-ADServiceAccount serviceaccount –SamAccountName test

MSA – это ещё один способ, который позволяет повысить безопасность.

источник

Читайте также:  Арматурные работы установка сеток

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *