ทำไม NT AUTHORITY \ SYSTEM สามารถสร้างการสำรองฐานข้อมูล SQL Server ได้

9

ฉันมีงานที่กำหนดเวลาไว้ (ใน Windows Task Scheduler) ที่เชื่อมต่อกับ SQL Server โดยใช้ SMO (Windows Authentication) และสร้างการสำรองฐานข้อมูล ถึงตอนนี้งานนี้ทำงานภายใต้บัญชีผู้ดูแลระบบและฉันต้องการเปลี่ยนให้ใช้บัญชีระบบแทน

ฉันเปลี่ยนงานที่กำหนดและแปลกใจที่สุดของฉันมันทำงานนอกกรอบ

ฉันต้องการที่จะเข้าใจว่าทำไมในกรณีนี้ ระบบคือ Windows Server 2012 R2 และฐานข้อมูลคือ SQL Server 2012 (SP1) Express Edition เป็นการติดตั้งมาตรฐานโดยเพิ่มผู้ใช้ SQL Auth หนึ่งราย

ใน SSMS นี่คือการเข้าสู่ระบบและบทบาทเซิร์ฟเวอร์ที่เกี่ยวข้อง:

  • MS_PolicyEventProcessingLogin ## (ปิดใช้งาน)

  • MS_PolicyTsqlExecutionLogin ## (ปิดใช้งาน)

  • MyServer \ Administrator (สาธารณะดูแลระบบ)
  • MySqlAuthUser (สาธารณะ)
  • BUILTIN \ Users (สาธารณะ)
  • NT AUTHORITY \ SYSTEM (สาธารณะ)
  • NT SERVICE \ MSSQLSERVER (สาธารณะ, ดูแลระบบ)
  • NT SERVICE \ SQLWriter (สาธารณะ, ดูแลระบบ)
  • NT SERVICE \ Winmgmt (สาธารณะ, ดูแลระบบ)
  • สา (สาธารณะ, ดูแลระบบ)

ฐานข้อมูลเองมีผู้ใช้และบทบาทต่อไปนี้:

  • MySqlAuthUser (เข้าสู่ระบบ MySqlAuthUser) (db_owner)
  • dbo (เข้าสู่ระบบ sa) (db_owner)
  • แขก(ปิดการใช้งาน)
  • Information_SCHEMA (ปิดการใช้งาน)
  • sys (ปิดการใช้งาน)

การดู "สิทธิ์ที่มีประสิทธิภาพ" ของผู้ใช้ NT AUTHORITY \ SYSTEM ให้ผลลัพธ์ต่อไปนี้:

  • แก้ไขกลุ่มความพร้อมใช้งานใด ๆ
  • เชื่อมต่อ SQL
  • สร้างกลุ่มห้องว่าง
  • ดูฐานข้อมูลใด ๆ
  • ดูสถานะเซิร์ฟเวอร์

เหตุใด NT AUTHORITY \ SYSTEM จึงมีสิทธิ์ในการสำรองฐานข้อมูล ฉันดีใจที่มันทำ แต่ฉันอยากจะเข้าใจว่าทำไม ...

sql-server  backup  permissions  database-backup 
Heinzi
แหล่งที่มา

คำตอบ:

11

สิทธิ์ขั้นต่ำในการสำรองฐานข้อมูลอยู่PUBLICที่ระดับเซิร์ฟเวอร์และDB_BACKUPOPERATORระดับฐานข้อมูล

ใน SQL Server 2005, Microsoft แนะนำไม่ให้ลบออกNT AUTHORITY\SYSTEMจากบทบาท sysadmin:

บัญชี NT AUTHORITY \ SYSTEM จะได้รับการเข้าสู่ระบบ SQL Server ด้วย บัญชี NT AUTHORITY \ SYSTEM ถูกจัดเตรียมในบทบาทเซิร์ฟเวอร์คงที่ SYSADMIN อย่าลบบัญชีนี้หรือลบออกจากบทบาทเซิร์ฟเวอร์คงที่ของ SYSADMIN บัญชี AUTHORITY \ SYSTEM NT ถูกใช้โดย Microsoft Update และ Microsoft SMS เพื่อใช้ Service Pack และโปรแกรมแก้ไขด่วนในการติดตั้ง SQL Server 2005 นอกจากนี้บัญชี NT AUTHORITY \ SYSTEM ยังถูกใช้โดย SQL Writer Service

นี่ไม่ใช่กรณีอีกต่อไปในปี 2012 ฉันตรวจสอบซ้ำแล้วซ้ำอีกในอินสแตนซ์ 2012 Express ของฉัน: NT AUTHORITY\SYSTEMไม่ใช่ดูแลระบบ อย่างไรก็ตามSQL Service VSS Writer เป็นที่ทำงานเป็นNT AUTHORITY\SYSTEMและเป็นดูแลระบบ

ฉันไม่สามารถค้นหาลิงก์ใด ๆ ที่สำรองว่านี่คือสาเหตุที่NT AUTHORITY\SYSTEMได้รับอนุญาตให้สำรองฐานข้อมูล แต่ฉันเชื่อว่าเป็นเช่นนั้น

Katherine Villyard
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.