当您将 SQL Server 服务帐户从虚拟帐户 (NT SERVICE\MSSQLSERVER) 更改为 Windows AD 帐户时,有关于如何授予本地权限(如作为服务登录和替换进程级令牌)的问题。
我第一次安装 sql server 时没有指定 windows 帐户。安装后,当我检查“本地安全策略”时,我可以看到“NT SERVICE\MSSQLSERVER”已添加到“作为服务登录”和“替换进程级令牌”等权限中。
然后我使用配置管理器将服务帐户更改为 Windows AD 帐户,然后返回并再次检查本地安全策略,但我找不到在其中任何一个中添加的新 Windows AD 帐户。
所以我想知道 Windows AD 帐户如何获得这些权限?它是否以某种方式链接到虚拟帐户?
SQL Server 2014, Windows 2012R2
我已经完成了以下问题,但未涵盖此特定问题。
绑定到服务 sid 的虚拟帐户(在本例中
NT SERVICE\MSSQLSERVER)将保留授予它们的任何权限。这是因为它们不会消失,它们仍然通过服务 sid 与服务绑定。当您更改帐户时,对于您提供的示例,除了一些家政用品外,没有其他任何东西。很可能更改为没有适当权限甚至无法启动 SQL Server 服务的域帐户。什么都没有转移。
例如,如果您有一个帐户可以完全访问不在 SQL Server 标准位置(这是安装过程的一部分)中的目录并更改该帐户,则该权限将保留在该帐户中。新帐户需要被授予这些权限,以便 SQL Server 能够正确使用该文件夹中的任何内容。
链接到虚拟帐户的最后一部分。不,它们没有关联。虚拟帐户和服务 sid 将保持原状。
您没有指定如何更改服务帐户。有人告诉我,您应该始终使用 SQL Server 配置管理器而不是 Services.msc,因为前者会在注册表中正确应用权限并验证密码的正确性,而后者只是更改帐户。这就是为什么他们需要创建一些与使用服务分开的东西。