Discussion :

[Ptit_Dje]

Hello,

J'ai constate que les groupes crees par SQL Server du genre SQLServerMSSQLUser$ServerName$InstanceName contiennent maintenant comme utilisateur NT SERVICE\MSSQL$InstanceName ou NT SERVICE\SQLAgent$InstanceName.

Est ce que quelqu'un peut me confirmer que ces "groupes" sont des redirections pointant vers le compte de service defini comme service account pour ces services ou bien alors je me trompe completement ?!

[mikedavem]

Lut

Ce ne sont pas des groupes mais des entités de service ou SID (A partir de Win 2008) qui servent effectivement à SQL Server pour son fonctionnement.

Tu pourras voir que ces entités appartiennent au rôle de serveur sysadmin dans SSMS dans le noeud security

++

[Ptit_Dje]

Oui effectivement, ja'i bien remarque cela.
Hier on a change le service account d'une instance et je verifiais si les membres des groupes avaient bien ete mis a jours.
Est ce donc fait automatiquement grace a ce SID de service ?
Est ce que les permissions sur les folders seront aussi mises a jour sachant qu'on les attribue sur base des groupes SQL Server ?

C'est un peu etrange

[mikedavem]

Le SID te permet vraiment d'isoler l'accès aux ressources de ton serveur SQL sans pour autant augmenter les privilèges du compte de service SQL Server.

Effectivement tout passe par le SID. D'ailleurs je pense que tu as vu que lorsque tu changeais le compte celui-ci n'était pas présent dans le groupe SQLServerMSSQLUser$ServerName$InstanceName. Avec Windows 2003, ce n'est pas le cas. Le groupe SQLServerMSSQLUser$ServerName$InstanceName est mis à jour avec le nouveau compte et ce dernier est également devenu sysadmin du serveur SQL (en regardant dans SSMS).

Donc l'intérêt est vraiment la .. isoler les ressources sans augmenter les privilèges d'un compte.

++