Tham gia Đăng nhập
Điểm:0
Spratty avatar Server

Tài khoản AD cho các dịch vụ giám sát trên các máy chủ

lá cờ bq
Spratty

Chúng tôi có một số máy chủ Windows chạy các dịch vụ khác nhau và chúng tôi gặp tình huống đôi khi các dịch vụ đó dừng lại. Để giám sát các dịch vụ này, tôi đã viết một dịch vụ Windows sử dụng ServiceController để xem xét các dịch vụ đáng ngờ và kiểm tra trạng thái hiện tại của chúng. Điều này hoạt động tốt khi tôi định cấu hình dịch vụ mới để chạy trong tài khoản có quyền quản trị viên cục bộ đối với các máy chủ được đề cập, nhưng điều đó không lý tưởng từ quan điểm bảo mật vì nó cấp các đặc quyền khác ngoài khả năng nhìn thấy các dịch vụ trên các máy đó.Lý tưởng nhất là tôi muốn tạo một tài khoản AD có thể "xem" và thẩm vấn các dịch vụ trên tất cả các máy chủ (các máy chủ trong phạm vi là một danh sách chắc chắn sẽ mở rộng trong tương lai) nhưng không có đặc quyền nào khác trên các máy chủ đó - phải không? thậm chí có thể, và nếu có thì cài đặt cho một tài khoản như vậy là gì?

Tôi xin lỗi nếu mô tả này hơi mơ hồ, vì vậy, giả sử rằng dịch vụ tôi đã viết sẽ được cài đặt trên ServerA và cần có thể sử dụng ServiceController để thẩm vấn dịch vụ "MSSQLSERVER" trên ServerB, dịch vụ "MSSQL$OTHERINSTANCE" trên ServerC và dịch vụ "SOMEOTHERSERVICE" và "RUNNINGOUTOFIDEAS" trên ServerD. Ngoài ra, danh sách các dịch vụ cần thẩm vấn được giữ trong cơ sở dữ liệu MS SQL Server trên ServerZ, vì vậy tài khoản sẽ cần có khả năng kết nối với cơ sở dữ liệu đó trên máy chủ đó, vì vậy, theo mục đích của tôi, nó cần phải được tài khoản AD tiêu chuẩn, hiển thị với tư cách người dùng trong bảo mật SQL Server.

Có ai có ý tưởng nào? Cảm ơn trước cho bất kỳ đề xuất, và cảm ơn vì đã dành thời gian để đọc nó. Xin lưu ý: một thách thức khung chẳng hạn như "tại sao bạn lại làm điều này? Bạn nên làm điều đó" sẽ được chào đón như một câu trả lời trực tiếp vì tôi không tin rằng không có cách nào tốt hơn và tôi luôn sẵn lòng học hỏi.

58
1 + 2
Zac67 avatar
lá cờ ru
Zac67
Bạn có thể tạo cục bộ một nhóm trên mỗi máy chủ chỉ với các đặc quyền bạn cần và sau đó thêm tài khoản (hoặc nhóm) AD vào nhóm đó cho dịch vụ giám sát.
0
Hồi đáp
Spratty avatar
lá cờ bq
Spratty
@Zac67 - Bạn có biết họ sẽ có những đặc quyền gì không? Đó là điều tôi băn khoăn nhất - Tôi không phải là quản trị viên mạng nên bất kỳ gợi ý nào về bất kỳ tài liệu nào liên quan đến các quyền hoặc vai trò đó đều sẽ được đánh giá rất rất cao.
0
Hồi đáp
Điểm:2
Semicolon avatar Server
lá cờ jo
Semicolon

Tài khoản sẽ cần quyền truy cập sau trên scmanager để giám sát từ xa tất cả các dịch vụ của máy:

Chuỗi này sẽ cần được đưa vào ACL scmanager hiện tại: (A;;CCLCRPRC;;;<AccountSID>)

MỘT: Cho Phép
CC - SC_MANAGER_CONNECT - kết nối từ xa
LC - SC_MANAGER_ENUMERATE_SERVICE - liệt kê tất cả dịch vụ
RP - SC_MANAGER_QUERY_LOCK_STATUS - thẩm vấn trạng thái của từng
RC - STANDARD_RIGHTS_READ - đọc quyền của scmanager và dịch vụ

ACL được lưu trữ tại HKLM:\SYSTEM\CurrentControlset\Control\ServiceGroupOrder\Security

Bạn sẽ muốn xác định ACL hiện tại là gì trên scmanager và đưa chuỗi trên vào vị trí thích hợp -- nằm ở đâu đó ở giữa, ở cuối ACL tùy ý và trước ACL hệ thống, như vậy:

D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;; BA)(A;;CC;;;AC)(A;;CC;;;S-1-15-3-1024-xxxxxxxx-xxxxxxxxxx-xxxxxxxxxx)(A;;CCLCRPRC;;;<SID đi vào đây>) S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

Tùy thuộc vào cách bạn triển khai và hệ thống triển khai tự động của bạn là gì, bạn có thể thấy dễ dàng hơn khi tận dụng sc.exe chỉ huy. "Dịch vụ" mà bạn quản lý với sc.exe không thực sự là một dịch vụ, đó là trình quản lý kiểm soát dịch vụ (scmanager):

sc.exe sdset scmanager "D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A ;;KA;;;BA)(A;;CC;;;AC)(A;;CC;;;S-1-15-3-1024-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx)(A;;CCLCRPRC;;; <SID vào đây>)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)"

Đây là quyền truy cập quá mức về mặt kỹ thuật, vì nó cấp cho tài khoản quyền truy vấn trạng thái và quyền của bất kỳ dịch vụ nào, không chỉ một số dịch vụ.

0 + 2
Spratty avatar
lá cờ bq
Spratty
Cảm ơn bạn - có vẻ như (đối với con mắt non kinh nghiệm của tôi) giống như một giải pháp rất khả thi; Tôi sẽ chuyển nó cho nhóm Quản trị mạng và xem họ nói gì, nhưng tôi rất hy vọng. Cảm ơn bạn một lần nữa - Tôi sẽ quay lại chấp nhận câu trả lời này ngay khi tôi nhận được phản hồi.
0
Hồi đáp
Spratty avatar
lá cờ bq
Spratty
Bạn biết đấy, nhóm NA của chúng tôi đã đồng ý đi theo cách này vì nó tốt hơn rất nhiều so với bất kỳ giải pháp thay thế nào mà chúng tôi có thể nghĩ ra. Bạn lưu ý: `Đây là quyền truy cập quá mức về mặt kỹ thuật, vì nó cấp cho tài khoản quyền truy vấn trạng thái và quyền của bất kỳ dịch vụ nào, không chỉ một số dịch vụ.` - chúng tôi hài lòng với điều đó; dịch vụ giám sát gần như chắc chắn sẽ được mở rộng để xem nhiều dịch vụ khác theo yêu cầu, vì vậy, đối với chúng tôi, việc có thể xem tất cả các dịch vụ sẽ là một tính năng chứ không phải lỗi. Cảm ơn bạn đã dành thời gian và câu trả lời của bạn - bạn đã làm mọi thứ dễ dàng hơn rất nhiều đối với tôi.
1
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.