înregistrare Logare
Puncte:0
Spratty avatar Server

Cont AD pentru serviciile de monitorizare pe servere

drapel bq
Spratty

Avem câteva servere Windows care rulează diverse servicii și avem o situație în care uneori acele servicii pur și simplu se opresc. Pentru a monitoriza aceste servicii, am scris un serviciu Windows care utilizează ServiceController pentru a analiza serviciile suspecte și a verifica starea lor actuală. Acest lucru funcționează bine atunci când configurez noul serviciu să ruleze sub un cont care are permisiuni de administrator local pentru serverele în cauză, dar acest lucru nu este ideal din punct de vedere al securității, deoarece acordă alte privilegii decât vederea serviciilor pe acele mașini.În mod ideal, aș dori să creez un cont AD care să poată „vedea” și interoga serviciile pe toate serverele (serverele din domeniul de aplicare sunt o listă care se va extinde în viitor), dar nu au alte privilegii pe acele servere - este acesta chiar posibil, și dacă da care sunt setările pentru un astfel de cont?

Îmi cer scuze dacă această descriere este puțin vagă, așa că să spunem că serviciul pe care l-am scris va fi instalat pe ServerA și trebuie să poată utiliza ServiceController pentru a interoga serviciul „MSSQLSERVER” pe ServerB, serviciul „MSSQL$OTHERINSTANCE” pe ServerC și servicii „SOMEOTHERSERVICE” și „RUNNINGOUTOFIDEAS” pe ServerD. În plus, lista serviciilor de interogat este păstrată într-o bază de date MS SQL Server pe ServerZ, astfel încât contul ar trebui să poată fi conectat la acea bază de date de pe acel server, deci ar trebui, în scopurile mele, să fie un cont AD standard, vizibil ca utilizator în securitatea SQL Server.

Are cineva idei? Vă mulțumim anticipat pentru orice sugestie și vă mulțumesc pentru timpul acordat citirii. Vă rugăm să rețineți: o provocare cadru precum „de ce faci asta? Ar trebui să faci acea„Ar fi la fel de binevenit ca un răspuns direct, deoarece nu sunt convins că nu există o cale mai bună și sunt întotdeauna fericit să învăț.

58
1 + 2
Zac67 avatar
drapel ru
Zac67
Puteți crea local un grup pe fiecare server cu doar privilegiile de care aveți nevoie și apoi adăugați un cont AD (sau grup) la acesta pentru serviciul de monitorizare.
0
Răspunde
Spratty avatar
drapel bq
Spratty
@Zac67 - Știi ce privilegii ar fi? Acesta este lucrul cu care sunt cel mai blocat - nu sunt administrator de rețea, așa că orice indicații către orice documentație referitoare la acele drepturi sau roluri ar fi foarte, foarte apreciate.
0
Răspunde
Puncte:2
Semicolon avatar Server
drapel jo
Semicolon

Contul va avea nevoie de următorul acces pe scmanager pentru a monitoriza de la distanță toate serviciile unei mașini:

Acest șir care ar trebui să fie injectat în ACL actualul scmanager: (A;;CCLCRPRC;;;<AccountSID>)

A: Permite
CC - SC_MANAGER_CONNECT - conectați de la distanță
LC - SC_MANAGER_ENUMERATE_SERVICE - listează toate serviciile
RP - SC_MANAGER_QUERY_LOCK_STATUS - interogați starea fiecăruia
RC - STANDARD_RIGHTS_READ - citiți permisiunile scmanager și serviciile

ACL este stocat la HKLM:\SYSTEM\CurrentControlset\Control\ServiceGroupOrder\Security

Veți dori să determinați care este ACL-ul curent pe scmanager și să includeți șirul de mai sus în locația corespunzătoare -- care este undeva la mijloc, la sfârșitul ACL-ului discreționar și înaintea ACL-ului de sistem, așa:

D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;; BA)(A;;CC;;;AC)(A;;CC;;;S-1-15-3-1024-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx)(A;;CCLCRPRC;;;<SID merge aici>) S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

În funcție de modul în care îl implementați și care este sistemul dvs. de implementare automată, este posibil să vă fie mai ușor să utilizați sc.exe comanda. „Serviciul” pe care îl gestionați cu sc.exe nu este cu adevărat un serviciu, este managerul de control al serviciului (scmanager):

sc.exe sdset scmanager "D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A; ;;KA;;;BA)(A;;CC;;;AC)(A;;CC;;;S-1-15-3-1024-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx)(A;;CCLCRPRC;;; <SID merge aici>)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)"

Acesta este un acces excesiv din punct de vedere tehnic, deoarece acordă contului permisiunea de a interoga starea și permisiunile oricărui serviciu, nu doar pentru o mână.

0 + 2
Spratty avatar
drapel bq
Spratty
Mulțumesc - asta pare (pentru ochiul meu neexpert) ca o soluție foarte viabilă; Îl voi transmite echipei de administratori de rețea și voi vedea ce spun, dar am mari speranțe. Vă mulțumesc din nou - voi reveni pentru a accepta acest răspuns imediat ce voi primi răspunsuri.
0
Răspunde
Spratty avatar
drapel bq
Spratty
Doar ca să știți, echipa noastră NA a fost de acord să meargă în acest fel, deoarece este mult mai bun decât orice alternativă pe care o putem găsi. Observați: „Acesta este un acces excesiv din punct de vedere tehnic, deoarece acordă contului permisiunea de a interoga starea și permisiunile oricărui serviciu, nu doar pentru o mână.” - suntem mulțumiți de asta; serviciul de monitorizare va fi aproape sigur extins pentru a urmări o mulțime de alte servicii la cerere, așa că posibilitatea de a vedea toate serviciile va fi, pentru noi, o caracteristică și nu o eroare. Vă mulțumesc pentru timpul acordat și pentru răspunsul dvs. - mi-ați ușurat lucrurile mult.
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.