Forums Últimos mensajes - Powered by IBM
 

Cambiar cuenta de login de servicios

29/01/2009 - 15:09 por Andres Eliseo Soncini | Informe spam
Gran Grupo,

Actualmente tengo un SQL ejecutandose con las siguientes cuentas:

Nombre Modo de inicio Iniciar sesión como Tipo de servicio
SQL Server Integration Services Automático NT AUTHORITY\NetworkService
SSIS Server
Búsqueda de texto de SQL Server (MSSQLSERVER) Automático LocalSystem
Full Text
SQL Server (MSSQLSERVER) Automático LocalSystem SQL Server
SQL Server Analysis Services (MSSQLSERVER) Automático LocalSystem
Analysis Server
Explorador de SQL Server Automático LocalSystem SQL Browser
Agente SQL Server (MSSQLSERVER) Automático LocalSystem SQL Agent


Ahora mi programador me solicita que cambie las cuentas de inicio, ya que
necesita que algunos Store Procedures accedan a recursos de red. Claro esta
que con la configuracion actual esto es imposible.

Las mejores practicas me dicen que nunca utilice cuentas de dominio para
ejecutar servicios. Pero yo necesito que esta cuenta pueda autenticar en
este server para levantar estos servicios y acceder a recursos de red.
Investigando encontre los siguientes articulos:



"Cuando instala por primera vez Microsoft SQL Server para ejecutarse en una
cuenta de Microsoft Windows NT, SQL Server establece para esa cuenta de
Windows NT varios derechos y permisos de usuario de Windows en ciertos
archivos, carpetas y claves del Registro. Si posteriormente cambia la cuenta
de inicio de SQL Server (el servicio MSSQLServer) y el servicio Agente SQL
Server mediante el Administrador corporativo de SQL Server (SEM, SQL Server
Enterprise Manager) o el Administrador de configuración de SQL Server (SSCM,
SQL Server Configuration Manager), SEM asigna automáticamente todos los
permisos y derechos de usuario de Windows necesarios a la nueva cuenta de
inicio para que no tenga que hacer nada más. Se recomienda que use esta
solución para cambiar la cuenta de servicio."

Fuente: http://support.microsoft.com/kb/283811


To change the SQL Server service startup account
1.. On the Start menu, point to All Programs, point to Microsoft SQL
Server 2005, point to Configuration Tools, and then click SQL Server
Configuration Manager.

2.. In SQL Server Configuration Manager, click SQL Server 2005 Services.

3.. In the details pane, right-click the name of the SQL Server instance
for which you want to change the service startup account, and then click
Properties.

4.. In the SQL Server <instancename> Properties dialog box, click the Log
On tab, and select a Log on as account type.

5.. After selecting the new service startup account, click OK.

A message box asks whether you want to restart the SQL Server service.

6.. Click Yes, and then close SQL Server Configuration Manager.

Fuente: http://technet.microsoft.com/en-us/...y/ms345578(SQL.90).aspx



Ahora, de esta forma, solo deberia crear la cuenta de usuario en el dominio,
restringir los inicios de sesion interactivos y demas derechos innecesarios
y el SSCM, se encargaria de setear los permisos para que dicha cuenta pueda
ejecutar los servicios sin inconvenientes.

Todo esto es correcto? Cual es la mejor forma de realizar esta tarea? Esta
bien que en este caso los servicios se ejecuten con una cuenta de dominio
(aunque este lo mas restringida posible)?

Si todo marcha sobre ruedas, a que servicios les debo cambiar la informacion
de inicio de sesion? El SQL Server Integration services debo dejarlo con la
cuenta actual?

Muchas gracias por su tiempo.

Saludos, Andres.
 

Leer las respuestas

#1 Carlos Sacristan
29/01/2009 - 15:28 | Informe spam
Hombre, lo ideal siempre es que el usuario con el que arranca el servicio
tenga los mínimos permisos posibles, por eso se dice (como norma general) que
es mejor que sea un usuario local no administrador. Sin embargo hay veces que
las funcionalidades mínimas cambian, así que no hay más remedio que darle más
permisos.

Como bien has leído, desde la versión 2005, el programa de instalación crea
unos grupos en AD que son a los que se les asignan los permisos mínimos para
que funcione correctamente SQL Server. Lo que tendrás que hacer será crear un
usuario de dominio y asignarle a dicho grupo los permisos de más que puedas
necesitar.

En cuanto a cambiar la cuenta de SSIS, pues depende... si tiene las mismas
necesidades que el servicio del motor de base de datos, pues tendrás que
hacer lo mismo; si estas necesidades no han cambiado, podrás dejarlo como
estaba.

Un saludo
-
www.navento.com
Servicios de Localización GPS


"Andres Eliseo Soncini" wrote:

Gran Grupo,

Actualmente tengo un SQL ejecutandose con las siguientes cuentas:

Nombre Modo de inicio Iniciar sesión como Tipo de servicio
SQL Server Integration Services Automático NT AUTHORITY\NetworkService
SSIS Server
Búsqueda de texto de SQL Server (MSSQLSERVER) Automático LocalSystem
Full Text
SQL Server (MSSQLSERVER) Automático LocalSystem SQL Server
SQL Server Analysis Services (MSSQLSERVER) Automático LocalSystem
Analysis Server
Explorador de SQL Server Automático LocalSystem SQL Browser
Agente SQL Server (MSSQLSERVER) Automático LocalSystem SQL Agent


Ahora mi programador me solicita que cambie las cuentas de inicio, ya que
necesita que algunos Store Procedures accedan a recursos de red. Claro esta
que con la configuracion actual esto es imposible.

Las mejores practicas me dicen que nunca utilice cuentas de dominio para
ejecutar servicios. Pero yo necesito que esta cuenta pueda autenticar en
este server para levantar estos servicios y acceder a recursos de red.
Investigando encontre los siguientes articulos:



"Cuando instala por primera vez Microsoft SQL Server para ejecutarse en una
cuenta de Microsoft Windows NT, SQL Server establece para esa cuenta de
Windows NT varios derechos y permisos de usuario de Windows en ciertos
archivos, carpetas y claves del Registro. Si posteriormente cambia la cuenta
de inicio de SQL Server (el servicio MSSQLServer) y el servicio Agente SQL
Server mediante el Administrador corporativo de SQL Server (SEM, SQL Server
Enterprise Manager) o el Administrador de configuración de SQL Server (SSCM,
SQL Server Configuration Manager), SEM asigna automáticamente todos los
permisos y derechos de usuario de Windows necesarios a la nueva cuenta de
inicio para que no tenga que hacer nada más. Se recomienda que use esta
solución para cambiar la cuenta de servicio."

Fuente: http://support.microsoft.com/kb/283811


To change the SQL Server service startup account
1.. On the Start menu, point to All Programs, point to Microsoft SQL
Server 2005, point to Configuration Tools, and then click SQL Server
Configuration Manager.

2.. In SQL Server Configuration Manager, click SQL Server 2005 Services.

3.. In the details pane, right-click the name of the SQL Server instance
for which you want to change the service startup account, and then click
Properties.

4.. In the SQL Server <instancename> Properties dialog box, click the Log
On tab, and select a Log on as account type.

5.. After selecting the new service startup account, click OK.

A message box asks whether you want to restart the SQL Server service.

6.. Click Yes, and then close SQL Server Configuration Manager.

Fuente: http://technet.microsoft.com/en-us/...y/ms345578(SQL.90).aspx



Ahora, de esta forma, solo deberia crear la cuenta de usuario en el dominio,
restringir los inicios de sesion interactivos y demas derechos innecesarios
y el SSCM, se encargaria de setear los permisos para que dicha cuenta pueda
ejecutar los servicios sin inconvenientes.

Todo esto es correcto? Cual es la mejor forma de realizar esta tarea? Esta
bien que en este caso los servicios se ejecuten con una cuenta de dominio
(aunque este lo mas restringida posible)?

Si todo marcha sobre ruedas, a que servicios les debo cambiar la informacion
de inicio de sesion? El SQL Server Integration services debo dejarlo con la
cuenta actual?

Muchas gracias por su tiempo.

Saludos, Andres.



Preguntas similares