Πώς δημιουργούμε ένα Group Managed Service στο Active Directory για να σηκώνει το service του SQL Server χωρίς τη χρήση password

Σχετικά με
τελευταίες δημοσιεύσεις

Το ταξίδι άρχισε το 2008 όπου ξεκίνησα να εργάζομαι επίσημα στον τομέα της τεχνολογίας πληροφορικής (IT). Ξεκινώντας το πρώτο εξάμηνο της σχολής κατάλαβα μια ιδιαίτερη έλξη προς τις βάσεις δεδομένων και τους αυτοματισμούς.Έχω ασχοληθεί με βάσεις δεδομένων όπως Microsoft SQL Server / Oracle Database, ανάλυση δεδομένων και αυτοματισμούς με τη χρήση γραμμής εντολών (CLI), Visual Basic for Applications και Python. Μέσα από τα χρόνια εμπειρίας εξέλιξα αυτές τις δυνατότητες ώστε να μπορώ να κάνω τη ζωή μου πιο εύκολη. Για μένα ο σκοπός του κάθε IT guy αλλά και κάθε υπαλλήλου γραφείου είναι το να έχει τις γνώσεις ώστε μέσω εργαλείων να μπορεί να δουλεύει λίγο αλλά να παράγει πολύ. Μέσα από αυτό τον ιστότοπο του DataPlatform.gr προσπαθώ να προσφέρω γνώσεις και να προτείνω λύσεις σε καθημερινά προβλήματα.

Πιστοποιήσεις:

certs

Τελευταίες δημοσιεύσεις από Stratos Matzouranis (Προβολή όλων)

Στον SQL Server πρέπει να αλλάζουμε τον χρήστη που “σηκώνει” το SQL Server service από τον default των Windows σε κάποιον με συγκεκριμένα δικαιόματα που ανήκει στο Active Directory Domain. Σε αυτό το άρθρο θα δούμε πως μπορούμε να δημιουργήσουμε ένα Group Managed Service που θα μας επιτρέπει να ελέγχουμε μαζικά αυτούς τους λογαριασμούς και να μην έχουμε την ανάγκη χρήσης password για το καθένα.

Η εγκατάσταση

Οι ενέργειες που απαιτούνται στον Active Directory Domain Controller

Για να φτιάξουμε το Security Group συνδεόμαστε στον server που έχει τον Active Directory Controller, πάμε στο Active Directory Users and Computers, δεξί κλικ στο domain, New, Group:

Πώς δημιουργούμε ένα Group Managed Service στο Active Directory για να σηκώνει το service του SQL Server χωρίς τη χρήση password — 01

Ορίζουμε όνομα στο Group:

Έπειτα επιλέγουμε δεξί κλικ στο Group που φτιάξαμε, Members, Add…, ως object type ορίζουμε Computers, ως location το Domain, τα ονόματα των servers που θα κάνουν χρήση τα managed services και στο τέλος επιλέγουμε Check Names:

Στη συνέχεια χρειάζεται να φτιάξουμε ένα κλειδί για το distribution service (KDS). Το κλειδί αυτό θα μπορούμε να το κάνουμε χρήση μετά από 10 ώρες. Για να φτιαχτεί το κλειδί και να έχει άμεσα ισχύ τρέχουμε την παρακάτω εντολή στο PowerShell:

Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))

Για να δούμε ότι δημιουργήθηκε κανονικά τρέχουμε το παρακάτω:

Get-KdsRootKey

AttributeOfWrongFormat :
KeyValue               : {197, 92, 95, 225...}
EffectiveTime          : 5/10/2021 4:03:28 πμ
CreationTime           : 5/10/2021 2:03:28 μμ
IsFormatValid          : True
DomainController       : CN=WS3,OU=Domain Controllers,DC=dataplatform,DC=local
ServerConfiguration    : Microsoft.KeyDistributionService.Cmdlets.KdsServerConfiguration
KeyId                  : beffa3be-d2e1-989b-d545-03706e73906e
VersionNumber          : 1

Για να δημιουργήσουμε το Group Managed Service τρέχουμε την παρακάτω εντολή ορίζοντας:

name: Το όνομα που θέλουμε να έχει το managed service.
DNSHostName: Το hostname του DNS.
PrincipalsAllowedToRetrieveManagedPassword: Το όνομα του Group που φτιάξαμε.

New-ADServiceAccount -name sqlserverserv -DNSHostName ws3.dataplatform.local -PrincipalsAllowedToRetrieveManagedPassword DBA

Επίσης για να μην λαμβάνουμε μηνύματα για registration του Service Principal Name (SPN) θα πρέπει να επιτρέξουμε στο service account να μπορεί να κάνει register μόνο του με την παρακάτω εντολή:

dsacls (Get-ADServiceAccount -Identity sqlserverserv ).DistinguishedName /G "SELF:RPWP;servicePrincipalName"

Οι ενέργειες που απαιτούνται στους servers των SQL Servers

Για αρχή θα πρέπει να συνδεθούμε στους servers των SQL Servers και να κάνουμε εγκατάσταση το feature AD DS and AD LDS Tools. Για να το κάνουμε αυτό πάμε στο Server Manager και επιλέγουμε Add roles and features:

Στη συνέχεια στη καρτέλα Features κάτω από την επιλογή Remote Server Administration Tools και Role Administration Tools θα βρούμε να επιλέξουμε το AD DS and AD LDS Tools :

Αφού ολοκληρωθεί η εγκατάσταση τρέχουμε την παρακάτω εντολή στο PowerShell ορίζοντας το όνομα του Managed Service που φτιάξαμε πριν:

Install-ADServiceAccount sqlserverserv

Για να δοκιμάσουμε αν λειτουργεί εκτελούμε το παρακάτω:

Test-ADServiceAccount sqlserverserv

True

Πλέον είναι έτοιμο και πρέπει να πάμε να το αλλάξουμε στο service του SQL Server.

Πάμε στο SQL Server Configuration Manager ,επιλέγουμε SQL Server Service, δεξί κλικ στο SQL Server, επιλέγουμε την καρτέλα Log On, This account, Browse, ως Object Type ορίζουμε Service Account, ως Location ορίζουμε Entire Directory και βάζουμε το όνομα του server Check Names:

Αφού κάνει restart το service θα δούμε ότι έχει πάρει το καινούργιο managed service επιτυχώς:

Πηγές:

Μοιράσου το

Κουλουράκι	Διάρκεια	Περιγραφή
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Κουλουράκι	Διάρκεια	Περιγραφή
__gads	1 year 24 days	This cookie is set by Google and stored under the name dounleclick.com. This cookie is used to track how many times users see a particular advert which helps in measuring the success of the campaign and calculate the revenue generated by the campaign. These cookies can only be read from the domain that it is set on so it will not track any data while browsing through another sites.
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.

Κουλουράκι	Διάρκεια	Περιγραφή
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.

Η εγκατάσταση

Οι ενέργειες που απαιτούνται στον Active Directory Domain Controller

Οι ενέργειες που απαιτούνται στους servers των SQL Servers

Πηγές:

Αφήστε μία απάντηση Ακύρωση απάντησης