Chapter 1 Securing Your Server and Network(2):管理服务的SIDs
未经作者允许,不论什么人不得以“原创”形式公布,也不得已用于商业用途,本人不负责不论什么法律责任。
前一篇:http://blog.csdn.net/dba_huangzj/article/details/37924127
前言:
像SQL Server这样的执行在一个Windows 帐号的安全上下文下的服务,假设还有其它服务使用同样的Windows帐号执行,那么这些服务(非SQL Server)将可能訪问一些非预期资源,如文件和文件夹上的Access Control List(ACL/訪问控制列表),并进行一些不应该有的操作,这些明显是不合理的。
从Windows Server 2008 開始,微软引入一个叫“服务SID”的概念,每一个服务都一个Security Identifier(安全标识)。通过SID,能够针对特定服务创建一个能用于Windows 安全性模式下的标识。这个标识同一时候能够使得使用同样帐号或者内置帐号的每一个服务权限都不一样。
每一个服务的SID会在安装在Windows Server 2008过程中启用,并授予权限。
实现:
以下使用命令行工具查看现有的SID,并为特定服务创建:
1. 打开命令行工具(CMD.EXE)
2.输入命令:
sc qsidtype mssql$sql2012 --mssql$sql2012 为命名实例名,假设是默认实例,能够使用mssqlserver
以下两个图各自是命名实例和默认实例的结果:
命名实例:本机命名实例为sql2012
默认实例:
针对上面的结果,SERVICE_SID_TYPE有三种可能的类型:
- NONE:该服务没有SID。
- UNRESTRICTED:该服务有SID。
- RESTRICTED:该服务有SID而且有一个write-restriction 令牌(token)
3. 假设SERVICE_SID_TYPE为NONE,能够使用以下命令创建SID:
sc sidtype mssql$sql2012 UNRESTRICTED
假设使用User Account Control(UAC/用户帐户控制,在每次进行一个管理任务时侦听),实现上面操作须要使用【以管理员身份执行】CMD命令或者用ctrl+x打开。当SQL Server的SID启用之后,全部SQL Server所在机器上的额外权限(如备份文件夹上的ACL、使用BULK INSERT命令进行文件导入等)都须要会使用SID,而不是SQL Server服务的执行帐号。
原理:
SQL Server服务的SID由服务和实例名派生出来。格式为NT SERVICE\MSSQLSERVER(默认实例)或NT SERVICE\MSSQL$<INSTANCENAME>(命名实例)。
对于SC命令的简要解释:
- sc.exe 命令用于与服务控制器交互。
- sc qsidtype命令查询当前SID的状态。
- sc sidtype提供改动功能。
假设你想移除SID,能够把服务改为NONE。而使用UNRESTRICTED创建一个SID。
注意:不要对SQL Server使用RESTRICTED 选项,由于这样会导致SQL Server服务所需的某些资源被堵塞,从而导致SQL Server无法启动。
下一篇:http://blog.csdn.net/dba_huangzj/article/details/38017703
转载于:https://www.cnblogs.com/hrhguanli/p/4075508.html
Chapter 1 Securing Your Server and Network(2):管理服务的SIDs相关推荐
- Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证
原文: Chapter 1 Securing Your Server and Network(9):使用Kerberos用于身份验证 原文出处:http://blog.csdn.net/dba_hua ...
- Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号
原文: Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号 原文出处:http://blog.csdn.net/dba_hua ...
- Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙
原文: Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙 原文出处:http://blog.csdn.net/dba_h ...
- 报错:The media could not be loaded, either because the server or network failed or ...
问题:引入video有关的所有插件进行播放视频都显示 The media could not be loaded, either because the server or network faile ...
- System.Security.SecurityException Failed to negotiate HTTPS connection with server.fiddler.network
最近做一个项目使用了http2,直接浏览器请求成功,但用fiddler发起请求的时候,返回了以下错误 ------ [Fiddler] The connection to 'localhost' fa ...
- SAND概述(Server and network assisted DASH)
最近看的论文一些笔记汇总 1 背景介绍 DASH具有分散性和client-pull的特性–>service providers控制较少=>无法提供高质量服务 DASH基本的分散和客户驱动的 ...
- 使用videojs,安卓可以正常播放视频,ios浏览器报错The media could not be loaded,either because the server or network ...
写在开头 video标签在各个浏览器中表现各异,存在很多兼容性问题,所以我尝试使用了videojs这个框架 传送门:videojs起步 传送门:videojs文档 直入主题 问题:按照videojs文 ...
- SQL Server 扩展秘钥管理(EKM)
无论是SQL Server 对称秘钥.非对称秘钥管理,还是使用对称秘钥或非对称秘钥对数据进行加密解密,以及数据库TDE,我们都有提到EKM(Extensible Key Manager),那么什么是E ...
- windows server 2008 r2 搭建WDS服务
文章目录 WDS服务概述 WDS (Windows Deployment Services) 的部署步骤: 在 Windows Server 2008 上添加"Windows 部署服务&qu ...
最新文章
- Python集成网络诊断小工具(含有ping,tracert,tcping等小工具)
- XML 学习 (3)
- android编译会生成class吗,请教下Android N混合编译生成的base.art中的类在运行时最终添加到哪个classloader的问题...
- PMCAFF | 史上最完整的沙龙活动策划总结
- 计算机网络项目——最小网元设计(阶段四)
- Shiro授权流程图
- [中国剩余定理]【学习笔记】
- 钩子怎么画_画男生校服有什么技巧?该注意什么?
- poi之Excel下载之详细设置
- vivado使用入门
- kettle org.pentaho.ui.xul.XulException: java.lang.reflect.InvocationTargetException
- 小米4 miui专用 Xposed安装器86版
- creo5.0安装教程
- 新西兰做java_新西兰华人的真实生活,真是吓到我了
- 零基础自学Java的网站有哪些?
- 数字雕刻和绘图软件ZBrush和Mudbox哪个好?ZBrush和Mudbox对比分析
- 这简历一看就是包装过的,你听过这句话吗?
- 股票量化投资精讲:从阿尔法本质和三种类型的阿尔法策略谈起
- python+openCV (入门级)车道线检测 学习笔记
- 元宇宙,是噱头还是创新?
热门文章
- 【Nginx】截取URL中某个参数Parameter
- 【若依(ruoyi)】swagger 生成接口文档
- 【spring boot】 禁用/关闭数据源/DataSource
- echarts词云图形状_用Python 3.8绘制词云图就这么20行代码
- oracle实现分段,用Oracle分段空间管理功能改进数据库性能
- java加快内存回收_java内存管理之垃圾回收及JVM调优
- 如何保存一个函数_如何表达一个“分段函数”之学习Matlab Function模块
- python文本解析_Python之文本文件解析
- 对接FusionInsight HD 6.5.1
- sublime text3 添加到右键菜单