none
Cuentas de Servicio (AD) RRS feed

  • Pregunta

  • Estimados.

    Estoy instalando SQL2016 Standar.

    Solo debo instalar el Motor y el Agente, es posible me puedan indicar de manera clara (los links de Microsoft se dan muchas vueltas) los permisos para Motor y Agente.

    Dominio\UsrMotor

    Dominio\UsrAgente

    Entiendo que UsrMotor debe ser Sysadmin, no me queda claro si debe ser Administrator del S.O

    UsrAgente no se si debe ser Sysadmin, aca entiendo que si quiero que el agente interactue con el S.O (ejecutar comandos como COPY) debe pertenecer al grupo Administrators del S.O.

    Saludos.


    DBA SQL Server Santiago/Chile


    • Editado CMAPM jueves, 18 de octubre de 2018 14:54
    jueves, 18 de octubre de 2018 14:53

Todas las respuestas

  • Hola,

    No tengo a mano links, pero lo que si puedo decirte es que en ningún caso es "necesario" que los usuarios sean administradores del S.O.

    Lógicamente, además de no ser necesario, no es para nada recomendable por motivos de seguridad.

    Un usuario estandar con los permisos "Perform Volume Maintenance Task" y "Lock pages in memory" (este último si el servidor tiene mas de 8Gb de RAM) a nivel de políticas de máquina tiene todo lo necesario para funcionar.

    Incluso sin estos permisos te funcionaría bien, pero se vería afectado el rendimiento.

    Espero que te sirva.

    Un saludo.

    Diego

    jueves, 18 de octubre de 2018 16:03
  • Tecnicamente si vasa usar cuentas de dominio, solo necesitan como minimo ser miembros de dominio.

    Las cuentas no las cambies por services.msc porque esto no otorga los permisos, manualmente son 16 o 18 permisos granulares que obtienen estas cuentas, si lo haces por medio del SQL Server configuration manager, este otorga los permisos necesarios.

    Ahora si quieres usar carpetas compartidas, delegacion de credenciales, etc. 


    Blog: www.sqlservertoolbox.blogspot.com.mx

    jueves, 18 de octubre de 2018 16:08
  • Enrique cuando dices "manualmente son 16 o 18 permisos granulares que obtienen estas cuentas"

    Yo debo dar dichos permisos o no entendi.

    Diego.

    Un usuario estandar con los permisos "Perform Volume Maintenance Task" y "Lock pages in memory" (este último si el servidor tiene mas de 8Gb de RAM) a nivel de políticas de máquina tiene todo lo necesario para funcionar.

    Te refieres a que al usuario que inicia el motor de sql debo darle permisos de Lock pages in memory ? en el sistema operativo ? En mi caso el servidor tiene mas de 8 GB RAM, si es asi donde esta dicho permiso para asignarselo ?

    Tampoco lei en las respuestas si el usuario del agente debe terner el rol sysadmin, y entiendo que el usuario del motor SI debe ser sysadmin, favor cuentenme.

    Saludos y gracias.


    DBA SQL Server Santiago/Chile


    • Editado CMAPM viernes, 19 de octubre de 2018 1:11
    viernes, 19 de octubre de 2018 1:10
  • Lock pages in memory es controversial aunque jamas habia escuchado de activarlo por cierto valor de RAM.

    Si los das de alta por SQL Server Configuration Manager, este aplica los permisos necesarios, pero si lo haces por services.msc no entonces los tendras que poner.

    Perform Volume Maintenace Task y Lock pages son atributos de cuenta, aunque como tal el de perform tiene otro nombre, este si es generalmente bueno.


    Blog: www.sqlservertoolbox.blogspot.com.mx


    • Editado Enrique AA viernes, 19 de octubre de 2018 14:35
    viernes, 19 de octubre de 2018 1:13
  • Como doy esos atributos de cuenta ? me explico.

    Cuando instaldo SQL le doy al motor un usr de dominio, entonces en el S.O. no creo nada, debo incluir dicho usuario y darle esos atributos que comentan ? no termino de entender aun :(


    DBA SQL Server Santiago/Chile

    viernes, 19 de octubre de 2018 1:42
  • Hola de nuevo,

    Los permisos que comentaba se asignan mediante la consola gpedit.msc.

    El Perform Volume Maintenance Task sirve para habilitar "Instant File Inicialization", que básicamente y resumiendo mucho es que al crear/aumentar los ficheros de la BD no los inicialice con ceros, de modo que el coste de esa operación sobre los ficheros se reduce mucho.

    Bloquear páginas en memoria, como decía Enrique es el tipo de configuración que una gente indica que debe hacerse y otra no. Yo por experiencia propia, siempre lo activo excepto en máquinas con poca RAM (menos de 8Gb), aunque no recuerdo donde obtuve ese dato.


    Como también te dicen, lo que no hay que hacer nunca es modificar el usuario mediante la consola de servicios de windows, siempre hay que hacerlo con la herramienta de configuración de servicios de SQL Server, ya que el instalador asigna internamente permisos en carpetas, ramas de registro, componentes COM, etc., y si posteriormente pones otro usuario con la consola de servicios de windows, todos esos permisos no los tendrá y te causará problemas.

    Este suele ser uno de los principales problemas que surgen cuando alguien instala SQL y es el origen del malentendido sobre que SQL requiere permisos de administrador: una vez lo han cambiado y SQL no funciona bien, ponen a ese usuario como administrador y entonces, al tener permisos en todas partes, SQL vuelve a funcionar, pero provocando un problema de seguridad.

    Disculpa que ayer no lo explicara mejor, pero no disponía de tiempo.

    Espero que te sirva.

    Un saludo.

    Diego

    viernes, 19 de octubre de 2018 7:58