Discussion :

[Chris292]

Bonjour,

Je cherche à sécuriser un serveur SQL 2008 fonctionnant sur un Windows 2008 R2.
Lors de l'installation, c'est le compte AUTHORITY\SYSTEM que j'ai associé au service de SQL Server et à l'agent.
L'installation terminée, j'ai créé un compte dans le domaine que j'ai déclaré en tant qu'utilisateur sur mon serveur SQL. Ensuite, via le SQL Server Configuration Manager, j'ai remplacé AUTHORITY\SYSTEM par mon compte de domaine.

Pour ce qui est de la suite des droits à donner à mon compte, je me suis basé sur ce lien : http://technet.microsoft.com/fr-fr/l...ql.105%29.aspx
Au chapitre Récapitulation des autorisations Windows pour les services SQL Server, il est indiqué par exemple qu'il faut que mon compte puisse démarrer SQL Server Active Directory Helper. Et c'est là que je bloque.

Ce lien explique comment faire avec une stratégie avec un serveur Windows 2003. En gros il faut aller dans Computer Configuration>Windows Settings>Security Settings>System Services.

Oui mais sous Windows 2008, System Services n'existe plus sous Computer Configuration>Windows Settings>Security Settings. Voici ce que j'ai :



... elle est où cette foutue GPO qui permet de dire tel compte à le droit de lancer/arrêter tel service ? J'ai retourné le web et je n'ai pas trouvé. Vous savez ?

[SiSMik]

Bonjour,

Descendez encore d'un cran dans local policies vous verrez un "User Rights Assigment".

@+

[mikedavem]

Il faut que installes sur le serveur les outils de gestion de GPO pour pouvoir faire cela au travers des features Windows. Une fois installée il suffit de lancer le Group Policy Management Editor , choisir la GPO correspondante dans l'AD et tu retrouveras le noeud System Services.

++

[Chris292]

Ok merci pour vos réponses. J'essaye de tester ce jour et je post le résultat.

Edit 1 : Premier edit avant un second plus complet avec captures pour démontrer. Sous User Rights Assigment, il n'est pas possible de modifier les ACL des différents services. Cependant, effectivement, après installation des outils de gestion de GPO, et donc en montant d'un cran en jouant avec les stratégies au niveau du domaine, on retrouve mon Security Settings>System Services recherché.

Problème : autant j'ai la main sur les stratégies local du serveur, autant je n'ai aucuns droits sur les stratégies au niveau du domaine. Je suis donc toujours au point de départ. Autre point intéressant trouvé sur ce lien :
il faut être sous un contrôleur de domaine 2008 pour voir la stratégie désirée :

you need to have one of the following running on your network:

Windows Server 2008 domain controller

Windows Vista SP1, with the Remote Server Administrative Tools installed, running in a Windows Active Directory domain

Once you have one of these computers running, you will then use the Group Policy Management Console (GPMC) to manage and edit GPOs from this computer. You won’t be able to see the new settings from a different computer not running the above listed criteria.