Compte de service SQL Server, Compte gMSA, droits d'accès et commande ATTACH
Bonjour,
J'ai récemment changé la config d'un SQL Server 2016 en passant ses compte de service MSQLSEERVER et SQLSERVERAGENT sous gMSA. J'ai bien entendu donné à ce compte les droits d'accès sur les ressources contenant les bases. Jusqu'à là, pas de problème.
Sauf que je me suis aperçu que certaines bases étaient en recovery pending. J'ai rapidement identifié qu'elle était dans le même répertoire et compris qu'il y avait un problème de droit d'accès sur celui-ci. Mais c'est bizarre puisque le compte gMSA y a bien accès (SMSS peut lister les fichiers de ces bases, en se connectant avec un compte SQL Server --> donc a priori SMSS utilise bien les droits du compte gMSA).
Ceci a été confirmé en essayant d'attacher une base contenu dans ce répertoire --> message d'erreur Access Denied !
Bref, après avoir pas mal tâtonné, j'ai trouvé que, pour que le moteur SQL et le commande ATTACH aient accès à ces fichiers de base de données, il fallait que le compte NT SERVICE\MSQLSERVER ait le contrôle total du répertoire ! Je dis bien contrôle total, car avoir les droits modifier ne suffit pas --> cela génère quand même l'erreur (SQL Server a besoin de pouvoir modifier les droits, notamment pour le DETACH).
Et c'est là que je me m'interroge ! Pourquoi SQL Server a toujours besoin de ce compte intégré et pourquoi le compte gMSA ne suffit pas ? je dois avoir forcément un souci de configuration autrement cela signifierait qu'il n'est pas possible de stocker des bases sur un SAN ?....
Merci d'avance pour vos lumières.
Répondre avec citation
Partager