Tive uma pergunta sobre como a permissão local é concedida (como fazer logon como um serviço e substituir um token de nível de processo) quando você altera a conta de serviço do SQL Server da conta virtual (NT SERVICE\MSSQLSERVER) para uma conta do Windows AD.
Eu instalei o sql server pela primeira vez sem especificar uma conta do Windows. Após a instalação, quando verifico "Política de Segurança Local", pude ver "NT SERVICE\MSSQLSERVER" adicionado a permissões como "Fazer logon como um serviço" e "Substituir um token de nível de processo".
Em seguida, mudei a conta de serviço para uma conta do Windows AD usando o gerenciador de configuração, voltei e verifiquei a Política de segurança local novamente e não consegui encontrar a nova conta do Windows AD adicionada a nenhuma delas.
Então, estou me perguntando como a conta do Windows AD obtém essas permissões? Está de alguma forma vinculado às contas virtuais?
SQL Server 2014, Windows 2012R2
Eu passei pelas perguntas abaixo, mas esta questão específica não é abordada.
Privilégios e direitos do Windows da conta de serviço do SQL Server
As contas virtuais vinculadas ao sid do serviço (neste caso
NT SERVICE\MSSQLSERVER) manterão todas as permissões concedidas a elas. Isso ocorre porque eles não desaparecem, eles ainda estão vinculados ao serviço por meio do sid do serviço.Quando você altera a conta, para o exemplo que você deu, além de alguns itens domésticos, nada mais é fornecido. É muito possível mudar para uma conta de domínio que não tenha as permissões adequadas para iniciar o serviço do SQL Server. Nada é transferido.
Por exemplo, se você tiver uma conta com acesso total para ler e gravar em um diretório que não esteja nos locais padrão do SQL Server (que fazem parte do processo de instalação) e alterou a conta, as permissões permanecerão com essa conta. A nova conta precisaria receber essas permissões para que o SQL Server funcionasse corretamente com qualquer coisa nessa pasta.
A última parte de estar vinculado à conta virtual. Não, eles não estão vinculados. A conta virtual e o sid do serviço ficarão com o que tinham.
Você não especificou como alterou a conta de serviço. Disseram-me que você sempre deve usar o SQL Server Configuration Manager sobre Services.msc porque o primeiro aplicará corretamente as permissões no registro e validará a senha para correção, enquanto o último apenas altera a conta. É por isso que eles precisavam criar algo separado do uso de serviços.