Beeinträchtigt die Gewährung von SA-Rechten an einen Benutzer in SQL das Betriebssystem?

7

Ich richte einen Server ein, den mein Unternehmen für einen unserer Kunden verwaltet. Auf diesem Server wird eine Anwendung ausgeführt, die von einem Drittanbieter verwaltet wird. Wir sind für den Server und das Betriebssystem verantwortlich, und der Drittanbieter ist für die Anwendung und die MS SQL-Datenbanken verantwortlich. Ich frage mich, ob der Drittanbieter SA-Rechte für SQL erhält, wenn dies ihm irgendeine Kontrolle über die Betriebssystemseite ermöglicht. SQL ist nicht meine Stärke. Wir würden Server 2008 R2 mit MS SQL Server 2008 verwenden.

Vielen Dank.

D43m0n
quelle

Antworten:

10

sysadminRechte erlauben die Verwendung von Dingen wie xp_cmdshellund den sp_OA%gespeicherten Prozessen, die sich auf das zugrunde liegende Betriebssystem auswirken können, dies hängt jedoch vom verwendeten Dienstkonto ab

Wenn Sie die Berechtigungen für das Dienstkonto einschränken (z. B. kein lokales System, kein lokaler Administrator und sicherlich kein Domänenadministrator), ist dies ziemlich in Ordnung. Das SQL-Installationsprogramm beschränkt die Berechtigungen des Dienstkontos während der Installation. Dies setzt natürlich voraus, dass Sie die Berechtigungen nicht selbst eskalieren.

gbn
quelle
Der Anbieter würde also ein Konto auf Betriebssystemebene benötigen, das dem Dienstkonto erhöhte Berechtigungen zuweisen kann, damit dies ein Problem darstellt (er wird kein solches Konto haben). Standardmäßig sollte das Dienstkonto sicher sein?
D43m0n
1
@ D43m0n: Ja, das Stock Service Konto ist in Ordnung. Beachten Sie, dass sie als Systemadministrator in SQL Server ohnehin keinen Betriebssystemzugriff benötigen, außer (ich würde es zulassen) auf die SQL Server-Daten- / Protokoll- / Sicherungsordner, damit gut, dba, funktioniert. Nirgendwo sonst.
Gbn
0

Die kurze Antwort lautet nein. Das Gewähren der lokalen SQL SA-Kontorechte für eine SQL-Instanz / Datenbanken hat keine Auswirkungen auf das Betriebssystem selbst.

DanBig
quelle