пятница, 5 июля 2019 г.

Запуск MSSQL под ограниченными правами

  Есть Windows Server 2016. На нем надо поставить SQL 2012 так, чтобы служба SQL запускалась не под административной учетной записью. Быстро набрел на статью "Выбор учетной записи для службы агента SQL" , где этот вопрос хорошо освещен, но названия настроек слегка отличаются от реальных.

  Если наша учетная запись создана в домене ActiveDirectory, то на контроллере домена ее добавить в группу "Пред-Windows 2000 доступ". Как быть если учетная запись локальная я не знаю.
  На сервере, где будет стоять SQL, запустить secpol.msc. Зайти в "Параметры безопасности \ Локальные политики \ Назначение прав пользователя". Добавить нашу ограниченную учетную запись в следующие пункты:
  1. Вход в качестве службы
  2. Обход перекрестной проверки
  3. Замена маркера уровня процесса 
  4. Настройка квот памяти для процесса
  5. Доступ к компьютеру из сети
  Далее запустим "Microsoft SQL Server Management Studio" и в "Безопасность \ Роли сервера" найти роль "sysadmin". Добавить в эту роль нашу ограниченную учетную запись. Судя по этому, наша ограниченная учетка все таки будет иметь полные права на базы SQL.
  SQL нормально установился, я завел нужные базы, таблицы, все заработало. Но спустя день обнаружилось, что не работает резервное копирование SQL базы.
  Добавлено позже
  Наткнулся еще на одну рекомендацию не от Microsoft. В целях ускорения можно добавить нашу ограниченную учетку в пункт "Блокировка страниц в памяти". Тогда операционка будет держать страницы памяти. принадлежащие SQL серверу в ОЗУ и не будет их свопить на диск..
  Может увеличить быстродействие ценой большего использования ОЗУ.
 

Комментариев нет:

Отправить комментарий