Sql не удалось обновить параметр разрешений для файла

Обновлено: 05.10.2022

Одним из самых значительных изменений в 2005 году была новая инфраструктура разрешений при проверке подлинности серверов. Ушли в прошлое времена, когда требовалось назначать пользователям системные роли, чтобы предоставить им единственное разрешение. Сегодня система разрешений отличается глубокой детализацией и позволяет назначать минимальные разрешения, необходимые субъекту безопасности для выполнения работы, в соответствии с принципом предоставления минимальных прав.

При использовании разрешений следует учитывать три основных фактора:

  • Кто должен получить разрешение?
  • На какой объект должно распространяться разрешение?
  • Разрешения какого вида должны быть выданы?

Основная идея разрешений состоит в предоставлении разрешения определенного типа для какого-нибудь объекта или объектов в экземпляре SQL Server некоторому субъекту безопасности.

Как всегда в SQL Server, необходимо спланировать назначение разрешений, чтобы обеспечить максимальную защиту для данных и сервера, одновременно согласовывая потребности сотрудников и процессов в доступе к данным. В сущности, это задача поиска баланса, но критичная для реализации минимальных прав в SQL Server.

Явные разрешения

Папка MDSTempDir и файл Службы Master Data Services Web.config (в папке WebApplication ) не наследуют разрешения. Для них разрешения задаются явно при установке Службы Master Data Services, независимо от выбранного пути установки. Изменять эти разрешения не следует.

Разрешения MDSTempDir
Имя группы или учетной записи Разрешения
SYSTEM Изменение, Чтение и выполнение, Просмотр содержимого папки, Чтение, Запись
Администраторы Изменение, Чтение и выполнение, Просмотр содержимого папки, Чтение, Запись
MDS_ServiceAccounts Изменение, Чтение и выполнение, Просмотр содержимого папки, Чтение, Запись
Разрешения Web.config
Имя группы или учетной записи Разрешения
SYSTEM Полный доступ, Изменение, Чтение и выполнение, Чтение, Запись
Администраторы Полный доступ, Изменение, Чтение и выполнение, Чтение, Запись
MDS_ServiceAccounts Чтение и выполнение, Чтение

Дополнительные сведения о содержимом файла Службы Master Data Services Web.config см. в разделе Раздел "Веб-конфигурация" (службы Master Data Services).

В этой статье описана процедура предоставления компоненту Компонент SQL Server Database Engine доступа к расположению в файловой системе, где хранятся файлы базы данных. Служба компонента Компонент Database Engine должна иметь разрешение файловой системы Windows для доступа к папке, в которой хранятся файлы базы данных. Разрешение на расположение по умолчанию задается во время установки. Если файла базы данных размещаются в другом расположении, то необходимо выполнить эти действия, чтобы предоставить компоненту Компонент Database Engine разрешение полного доступа к этому расположению.

Начиная с версии SQL Server 2012 (11.x), разрешения назначаются идентификатору безопасности каждой из служб. Эта система позволяет обеспечить изоляцию и всестороннюю защиту службы. Идентификатор безопасности службы создается на основе имени службы и является уникальным для каждой службы. В статье Настройка учетных записей и разрешений службы Windows описывается идентификатор безопасности каждой службы доступа, а имена перечисляются в разделе Права и привилегии Windows. Разрешение на доступ к расположению файла назначается именно идентификатору безопасности службы.

Пользуйтесь разрешениями

Меры безопасности SQL Server 2005 были значительно пересмотрены, и совершенствование продолжалось в каждой новой версии. Разрешения стали гораздо детальнее, чем в предшествующих версиях SQL Server, и администратору предоставляются широкие возможности по определению круга лиц, получающих доступ к различным объектам на экземпляре сервера. При огромном разнообразии субъектов безопасности, защищаемых объектов и разрешений весьма трудно найти оптимальный способ назначения, отмены и отзыва разрешений. Но усилия не пропадут даром: вы получите куда более защищенный сервер. И никогда не поддавайтесь соблазну назначать пользователям и ролям разрешения административного уровня, просто ради того чтобы упростить задачу.

Листинг A. Содержимое файла Permissions Code.sql

Листинг 1. Программный код для тестирования разрешений пользователя LimitedAdmin

Листинг 2. Программный код для тестирования разрешений определяемой пользователем роли базы данных ProdDataEntry

Листинг 3. Программный код для доступа к некоторым метаданным разрешений

При установке Службы Master Data Servicesпапки и файлы устанавливаются по указанному для общих компонентов SQL Server пути установки в файловой системе. При использовании пути установки общих компонентов SQL Server по умолчанию, путем установки для Службы Master Data Services будет диск:\Program Files\Microsoft SQL Server\130\Master Data Services. Хотя путь установки общих компонентов можно изменить, следует учитывать разрешения, наследуемые от родительской папки, а также явно заданные для Службы Master Data Servicesразрешения.

Использование разрешения на уровне экземпляра сервера

Рассмотрим практический пример использования разрешений и код T-SQL для выполнения различных действий. Весь приведенный программный код есть в файле Permissions Code.sql (см. листинг A), наряду с программным кодом для очистки и вспомогательных функций, а также комментариями. Программный код анализирует разрешения как на уровне сервера, так и на уровне базы данных.

Сначала создается имя входа Bonsai (с достаточно надежным паролем!) для сервера и пользователь Bonsai сопоставляется имени входа в базе данных AdventureWorks2012. Используйте любую базу данных по своему желанию, но в программном коде используются объекты и данные именно из этой базы данных.

Затем в программном коде создается определяемая пользователем серверная роль, LimitedAdmin, которая получает большую часть прав доступа sysadmin на экземпляре SQL Server. Сначала роли присваивается разрешение CONTROL SERVER, благодаря которому она, в сущности, становится ролью sysadmin. После этого производится отмена некоторых разрешений, в том числе возможность создавать или изменять другие серверные роли и имена входа. Вероятно, самый значительный ущерб возможностям наносит отмена разрешения изменять любые базы данных, что не позволяет и создавать новые базы данных. Поэтому в действительности роль будет иметь разрешения только на уровне экземпляра сервера.

Теперь нужно протестировать права роли LimitedAdmin. Для этого используется программный код, приведенный в листинге 1, в котором выполняются четыре действия: создание серверной роли, создание имени входа, создание базы данных и включение кода SQLCLR в экземпляре. Для первых трех действий разрешения отменены, но четвертое должно быть выполнено, так как системные администраторы имеют право изменять системные параметры, и данное разрешение не было отменено для роли.

Для тестирования возможностей LimitedAdmin используется ранее созданное имя входа Bonsai, изменяется контекст выполнения как показано ниже, а затем выполняются инструкции из листинга 1. Поскольку Bonsai не добавлено к роли LimitedAdmin, оно остается обычным именем входа без широких прав, и выполнение всех инструкций завершается неудачей, как показано на приведенном экране. Благодаря такому контрольному тесту можно удостовериться, что базовый пользователь не имеет никаких разрешений на уровне сервера.

Тестирование разрешений Bonsai до назначения ему роли LimitedAdmin
Экран. Тестирование разрешений Bonsai до назначения ему роли LimitedAdmin

Затем мы возвращаемся к разрешениям sysadmin с помощью следующей инструкции.

Теперь повторим процесс, но сначала добавьте Bonsai к группе LimitedAdmin с использованием следующей инструкции, чтобы Bonsai имела разрешения роли наряду с другими уже имеющимися разрешениями. В приведенном примере их не было.

Теперь, когда контекст выполнения изменен на Bonsai, первые три операции по-прежнему завершаются неудачей, но включение кода SQLCLR работает успешно. Мы назначили роли LimitedAdmin разрешение CONTROL SERVER, которое охватывает почти все действия, совершаемые на экземпляре сервера, но при этом отменили некоторые разрешения. Если вы намерены запретить роли LimitedAdmin изменять параметры сервера, например включением кода SQLCLR, то можно запретить разрешение SETTINGS с помощью следующей инструкции:

После этого выполнение инструкций листинга 1 завершится неудачей. Данный пример (хотя и искусственный) показывает, что можно сделать с детальными разрешениями на уровне сервера. Можно начинать с минимума и предоставлять роли только разрешения, необходимые пользователям для выполнения их работы, вместо того, чтобы начинать с широких прав, а потом отзывать отдельные разрешения.

Субъекты безопасности: кто должен получить разрешение?

В данной статье не уделяется большого внимания субъектам безопасности, но все же следует отметить, что в SQL Server имеются субъекты безопасности различных типов, которым можно предоставить разрешение на объект. Список субъектов, приведенный ниже, охватывает реальных пользователей, прошедших проверку подлинности Windows или SQL Server, сопоставления субъектов в различных областях, а также приложения, асимметричные ключи и даже сертификаты безопасности.

Субъекты безопасности уровня SQL Server

  • Имя входа SQL Server, автономное или сопоставленное сертификату, имя входа Windows или асимметричный ключ;
  • Субъекты безопасности уровня базы данных;
  • Роль приложения;
  • Роль базы данных;
  • Пользователь базы данных, возможно, сопоставленный сертификату, имя входа Windows или асимметричный ключ;
  • Общая роль.

Как и в Windows, субъект безопасности может быть одним пользователем или коллективом пользователей, именуемым группой в Windows и ролью в SQL Server. Обычно пользователей включают в группы в Windows (которые затем сопоставляются роли в SQL Server) или присваивают им роли в SQL Server, а затем ролям назначаются разрешения. В результате управление разрешениями существенно упрощается, особенно если приходится иметь дело с группами и иерархиями объектов, которые рассматриваются далее в этой статье. Чтобы по ошибке не пропустить уязвимых мест, организация должна быть как можно проще.

Все ответы

1. Синхронизировано ли время на Ваших серверах и клиентах? Нет ли запаздывания?

2. Работает ли репликация контроллеров домена, нет ли ошибок? Что говорит утилита dcdiag?

3. Нет ли ошибок при проверке базы Active Directory утилитой ntdsutil?

4. Доступен ли sysvol? Проблема существует только лишь с 1 сервером/сервисом?

Из ваших логов - RDS сервер не видит DC

Проверьте настройки сети;

Логи на DC и RDS сервере

По поводу dcdiag:
Запуск проверки: SystemLog
Возникло событие Error. Код события (EventID): 0x00000457
Время создания: 01/22/2018 13:05:12
Строка события:
Драйвер HP LaserJet Pro MFP M225-M226 PCL 6 для принтера NPI67AFE5 (
HP LaserJet Pro MFP M225dw) не опознан. Обратитесь к сетевому администратору, чт
обы он установил нужный драйвер.
Возникло событие Error. Код события (EventID): 0x00000457
Время создания: 01/22/2018 13:05:14
Строка события:
Драйвер Kyocera ECOSYS M2540dn KX (XPS) для принтера Kyocera ECOSYS
M2540dn KX (XPS) не опознан. Обратитесь к сетевому администратору, чтобы он уста
новил нужный драйвер.
Возникло событие Error. Код события (EventID): 0x00000457
Время создания: 01/22/2018 13:05:17
Строка события:
Драйвер Kyocera ECOSYS M2540dn (KPDL) для принтера Kyocera ECOSYS M2
540dn (KPDL) не опознан. Обратитесь к сетевому администратору, чтобы он установи
л нужный драйвер.
Возникло событие Error. Код события (EventID): 0x00000457
Время создания: 01/22/2018 13:05:19
Строка события:
Драйвер Kyocera ECOSYS M2540dn для принтера Kyocera ECOSYS M2540dn н
е опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйв
ер.
Возникло событие Error. Код события (EventID): 0x00000457
Время создания: 01/22/2018 13:05:22
Строка события:
Драйвер Kyocera ECOSYS M2540dn KX для принтера Kyocera ECOSYS M2540d
n KX не опознан. Обратитесь к сетевому администратору, чтобы он установил нужный
драйвер.
Возникло событие Error. Код события (EventID): 0x00000457
Время создания: 01/22/2018 13:05:26
Строка события:
Драйвер HP LaserJet Professional CP1020 Series для принтера HP Laser
Jet Professional CP1020 Series не опознан. Обратитесь к сетевому администратору,
чтобы он установил нужный драйвер.
Возникло событие Error. Код события (EventID): 0x00000457
Время создания: 01/22/2018 13:05:28
Строка события:
Драйвер Microsoft XPS Document Writer v4 для принтера Microsoft XPS
Document Writer не опознан. Обратитесь к сетевому администратору, чтобы он устан
овил нужный драйвер.
. DC - не пройдена проверка SystemLog

Все остальные проверки пройдены успешно.

проблема только с одним сервером терминалов, но из за него страдает треть компов на предприятии, так как к нему подключаются по RDP.


И на счет времени.

net time /domain:xxx
выдало
Системная ошибка 5.

Отказано в доступе

Странно, но стоял не мой часовой пояс, сейчас поменял, пока рано делать выводы))

Использование разрешений на уровне базы данных

Преимущества детальных разрешений SQL Server доступны и на уровне базы данных. В этом разделе статьи будет создана определяемая пользователем роль базы данных и исследован еще один аспект разрешений: возможность управления кругом лиц, которым разрешено выполнять различные типы действий на определенных объектах базы данных.

В этом случае сначала выполняется перемещение базы данных AdventureWorks2012, а затем создается определяемая пользователем роль ProdDataEntry и к роли добавляется Bonsai.

Затем нужно назначить роли какие-нибудь разрешения и одно разрешение будет удалено. Идея состоит в том, что членам роли нужны права для вставки и обновления записей в двух таблицах в схеме Production. На данном этапе важно управлять разрешениями для действий. Следующие инструкции назначают разрешения INSERT и UPDATE для таблиц Production.UnitMeasure и Production.ProductCategory, а также инструкция SELECT для таблицы ProductCategory. С ее помощью будет показано, как можно управлять действиями с данными на детальном уровне.

Затем можно использовать программный код, приведенный в листинге 2, для тестирования разрешений при выполнении кода от имени Bonsai. Прежде чем читать статью дальше, просмотрите программный код, чтобы понять, можете ли вы определить, удачно или нет завершается каждая инструкция.

Фрагмент 1 завершается успешно, так как Bonsai имеет разрешение INSERT для таблицы UnitMeasure, но фрагмент 2 завершается неудачно из-за отсутствия разрешения SELECT. Фрагменты 3 и 4 завершаются успешно, так как роль имеет разрешения INSERT и SELECT для таблицы ProductCategory. Фрагмент 5 завершается неудачей, поскольку роль вообще не имеет разрешений для таблицы HumanResources.Department. Фрагмент 6 успешен, так как роль имеет разрешение EXECUTE для хранимой процедуры uspGetEmployeeManagers, но фрагмент 7 завершается неудачей, потому что разрешения для процедуры uspGetManagerEmployees были отозваны ранее.

SQL Server предоставляет значительный объем метаданных о разрешениях, и в листинге 3 показано несколько способов доступа к метаданным. Первая инструкция перечисляет разрешения, которые имеются у роли ProdDataEntry в базе данных AdventureWorks2012 после выполнения предшествующего программного кода. Три другие инструкции показывают, как использовать sys.fn_builtin_permissions для получения списка всех встроенных разрешений в экземпляре сервера, всех разрешений на уровне сервера и всех на уровне базы данных. Это превосходный способ проанализировать полный набор доступных разрешений. Вы почерпнете массу полезной информации!

Наследуемые разрешения

Папка Microsoft SQL Server , папка Master Data Services , а также большинство вложенных папок и файлов наследуют разрешения родительской папки, заданной в программе установки SQL Server . Если было выбрано расположение установки по умолчанию, то родительской папкой, от которой наследуются разрешения, будет диск:\Program Files. В приведенной далее таблице описаны разрешения по умолчанию для папки Program Files.

Если изменить разрешения по умолчанию для Program Files или выбрать другое расположение для установки, то папки и файлы Службы Master Data Services унаследуют разрешения соответствующей родительской папки, и эти разрешения могут отличаться от приведенных в таблице ниже.

Разрешения по умолчанию для папки Program Files
Имя группы или учетной записи Разрешения
CREATOR OWNER Специальные разрешения
SYSTEM Специальные разрешения
Администраторы Специальные разрешения
Пользователи Чтение и выполнение, Просмотр содержимого папки, Чтение
TrustedInstaller Просмотр содержимого папки, Специальные разрешения

Объект разрешения

Почти каждый определяемый пользователем объект в SQL Server является защищаемым. Доступом к нему можно управлять с помощью разрешений, предоставленных субъекту безопасности. Существует три области защищаемых объектов — сервер, база данных и схема, — которые формируют иерархию защищаемых объектов в экземпляре SQL Server, как показано на рисунке. Вы видите наиболее распространенные объекты, которые нужно обезопасить в каждой области. Кроме того, показано, что два объекта — база данных и схема, — представляют собой контейнеры для других объектов.

Иерархия защищаемых объектов в экземпляре SQL Server
Рисунок. Иерархия защищаемых объектов в экземпляре SQL Server

Важно понимать эту иерархию, так как каждый объект, показанный на рисунке, можно защитить отдельно с помощью разрешений. Это удобно для отдельных объектов, таких как роли сервера, сертификаты и таблицы, и чрезвычайно важно для объектов-контейнеров, базы данных и схемы. Каждый из этих объектов содержит другие объекты. Интересное следствие для безопасности заключается в возможности назначать контейнеру разрешения, которые применяются ко всем содержащимся в нем объектам. Поэтому, точно так же, как роли объединяют разрешения для многих субъектов безопасности, объекты-контейнеры объединяют разрешения для объектов.

Можно также увеличить детализацию и предоставить разрешение SELECT на схему, но отказать в этом разрешении лишь для одной из таблиц. В результате вся схема в целом становится гораздо более управляемой, чем если бы пришлось отдельно назначать каждое разрешение для каждого субъекта безопасности на каждом объекте.

Субъекты безопасности уровня Windows

  • Имя входа домена или локальное имя входа Windows;
  • Группа Windows.

Вопрос

New Win2012R2 2 node physical cluster. Receiving an error message(never seen before) during the SQL2012 installation on the first physical node -

The following error has occured:

Updating Permission setting for file 'F:\System Volume Information\ResumeKeyFilter.Store' failed. The file permission setting was supposed to be set to 'D:P(A;OICI;FA;;;;BA + other random numbers and semi-colons.

Only option is to Retry or Cancel:

Disk Layout is below -

D: Installing the Binaries here to D:\ Source Folder with the SQL installation files here and thats where Setup.exe being run from.

F: SQL_DATA (custom folder created - for user db's)

G: SQL_LOGS (custom folder created - for user logs)

H:\MSSQL11.MSSQLSERVER\MSSQL\DATA (system db's inc Tempdb)

Done some research and only a few posts around this, mainly around showing hidden system files and changing permissions. Tried showing hidden files and nothing shows.

Any help greatly appreciated. Never had issue before, but first SQL2012 SP2 install on a Win2012R2 cluster, normally Win2008R2 server.

Ответы

Are you trying to install the always on SQL server but not the shared storage based cluster? Did you perform the cluster validation before you install the SQL Server? Please run the cluster validation then post the warning or error part information. Please offer more information about your storage, If you are using mount point storage please refer the following article first.

Using Mount Points with SQL Server

Considerations with using Mount Points in SQL Server 2008/R2 Failover Clusters

This error usually caused by SQL Server setup has no permission to access \System Volume Information\ResumeKeyFilter.Store. , please try to give the SQL account Full permission on “F:” or create a subfolder in a volume mount point and assign it to the SQL Server system folders.

Sql server setup fails if tempdb or system databases are located on a mount point

Здравствуйте! Такой вопрос возник: внезапно во всем офисе при подключении через RDP к серверу терминалов возникает ошибка "Отказано в доступе", на этапе аутентификации. Поиск в интернете решения не дал. Групповые политики не менялись, в логах нет информации о ошибки аутентификации ни на клиенте, ни на сервере терминалов. Однако было замечено что в данный период времени не обновляются групповые политики. Обновляются политики пользователя, а политики компьютера нет.

вот что выдало GPresult

C:\Users\Администратор>GPUpdate /Force
Обновление политики.

Обновление политики пользователя завершено успешно.
Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Не удалось разрешить имя компьютера. Во
зможные причины:
a) Ошибка разрешения имен на текущем контроллере домена.
b) Запаздывание репликации Active Directory (созданная на другом контроллере дом
ена учетная запись еще не реплицирована на текущий контроллер домена).

Чтобы диагностировать сбой, просмотрите журнал событий или откройте gpmc.msc для
просмотра сведений о результатах групповой политики.


C:\Users\Администратор>gpresult /v /user:xxx\Администратор

Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) версии 2.0
(С) Корпорация Майкрософт, 1981-2001

Создано на 12.01.2018 в 9:50:13

Конфигурация ОС: Рядовой сервер
Версия ОС: 6.0.6002
Имя сайта: Default-First-Site-Name
Перемещаемый профиль: Н/Д
Локальный профиль: C:\Users\Администратор
Подключение по медленному каналу: Нет

Последнее применение групповой политики: 12.01.2018 в 9:46:26
Групповая политика была применена с: DC.xxx
Порог медленного канала для групповой политики: 500 kbps
Имя домена: ххх
Тип домена: WindowsNT 4

Примененные объекты групповой политики
---------------------------------------
Default Domain Policy

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Local Group Policy
Фильтрация: Не применяется (пусто)

Компьютер является членом следующих групп безопасности
------------------------------------------------------
Администраторы
Все
SQLServerMSSQLServerADHelperUser$SERV1C
Пользователи
СЕТЬ
Прошедшие проверку
Данная организация
Обязательный уровень системы

Установка программ
Политики учетных записей
------------------------
GPO: Default Domain Policy
Политика: LockoutDuration
Параметры компьютера: 30

GPO: Default Domain Policy
Политика: MaximumPasswordAge
Параметры компьютера: 4294967295

GPO: Default Domain Policy
Политика: MinimumPasswordAge
Параметры компьютера: 1

GPO: Default Domain Policy
Политика: ResetLockoutCount
Параметры компьютера: 30

GPO: Default Domain Policy
Политика: LockoutBadCount
Параметры компьютера: 10

GPO: Default Domain Policy
Политика: PasswordHistorySize
Параметры компьютера: 24

GPO: Default Domain Policy
Политика: MinimumPasswordLength
Параметры компьютера: 1

Политика аудита
---------------
Параметры безопасности
----------------------
GPO: Default Domain Policy
Политика: PasswordComplexity
Параметры компьютера: Не включено

GPO: Default Domain Policy
Политика: ClearTextPassword
Параметры компьютера: Не включено

GPO: Default Domain Policy
Политика: ForceLogoffWhenHourExpire
Параметры компьютера: Не включено

GPO: Default Domain Policy
Политика: RequireLogonToChangePassword
Параметры компьютера: Не включено

GPO: Default Domain Policy
Политика: LSAAnonymousNameLookup
Параметры компьютера: Не включено

GPO: Default Domain Policy
Политика: @wsecedit.dll,-59058
Параметр: MACHINE\System\CurrentControlSet\Control\Lsa\
NoLMHash
Параметры компьютера: 1

Последнее применение групповой политики: 12.01.2018 в 9:46:07
Групповая политика была применена с: Н/Д
Порог медленного канала для групповой политики: 500 kbps
Имя домена: xxx
Тип домена:

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Local Group Policy
Фильтрация: Не применяется (пусто)

Пользователь является членом следующих групп безопасности
---------------------------------------------------------
None
Все
Администраторы
Пользователи
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
Данная организация
ЛОКАЛЬНЫЕ
Проверка подлинности NTLM
Высокий обязательный уровень

Обход перекрестной проверки
Управление аудитом и журналом безопасности
Архивация файлов и каталогов
Восстановление файлов и каталогов
Изменение системного времени
Завершение работы системы
Принудительное удаленное завершение работы
Смена владельцев файлов и других объектов
Отладка программ
Изменение параметров среды изготовителя
Профилирование производительности системы
Профилирование одного процесса
Увеличение приоритета выполнения
Загрузка и выгрузка драйверов устройств
Создание файла подкачки
Настройка квот памяти для процесса
Отключение компьютера от стыковочного узла
Выполнение задач по обслуживанию томов
Имитация клиента после проверки подлинности
Создание глобальных объектов
Изменение часового пояса
Создание символических ссылок
Увеличение рабочего множества процесса

Результирующий набор политик для пользователя
----------------------------------------------
Так же при GPUpdate /Force выдало вот такое


C:\Users\Администратор>GPUpdate /Force
Обновление политики.

Обновление политики пользователя завершено успешно.
Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Попытка чтения файла "\\xxx\sysvo
l\xxx\Policies\\gpt.ini" с контролле
ра домена была неудачной. Параметры групповой политики не могут быть применены,
пока не будет исправлена эта ситуация. Это может быть временным явлением, его во
зможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контролле
ру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере дом
ена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).

Чтобы диагностировать сбой, просмотрите журнал событий или откройте gpmc.msc для
просмотра сведений о результатах групповой политики.

Предоставление разрешение на доступ к файловой системе идентификатору безопасности службы

С помощью проводника Windows перейдите в папку файловой системы, в которой находятся файлы базы данных. Правой кнопкой мыши щелкните эту папку и выберите пункт Свойства.

На вкладке Безопасность выберите Изменить, а затем ― Добавить.

В диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или групп выберите Расположения, в начале списка расположений выберите имя своего компьютера и нажмите кнопку ОК.

В поле Введите имена объектов для выбора введите имя идентификатора безопасности службы. Сведения о получении идентификатора см. в статье Настройка учетных записей службы Windows и разрешений. (В качестве идентификатора безопасности службы компонента Компонент Database Engine используйте NT SERVICE\MSSQLSERVER для экземпляра по умолчанию или NT SERVICE\MSSQL$InstanceName — для именованного экземпляра.)

В поле имен Группа или пользователь выберите имя идентификатора безопасности службы, а затем в поле Разрешения для установите флажок Разрешить для параметра Полный доступ.

SQL2012 sp2 Enterprise Cluster Install problem - Updating permission setting for file F:\System Volume Information\ResumeKeyFilter.store' failed

Инструкции разрешения

После знакомства с субъектами безопасности и защищаемыми объектами самое время рассмотреть собственно разрешения и способы их назначения. Эти действия можно выполнить с помощью замечательного инструментария в среде SQL Server Management Studio (SSMS) или инструкций T-SQL. Я подробно рассмотрю последний вариант, в основном потому, что таким образом можно полностью использовать весь набор разрешений.

Можно воспользоваться тремя инструкциями разрешения. Инструкция GRANT предоставляет разрешение для защищаемого объекта субъекту безопасности. Инструкция REVOKE отменяет результат инструкции GRANT: удаляет разрешения для объекта, ранее назначенные субъекту безопасности. Если в момент выполнения инструкции REVOKE у субъекта безопасности нет соответствующего разрешения, то оно и дальше будет отсутствовать; ошибки не произойдет. Важно понимать, что отозванное разрешение может быть унаследовано через членство в роли, которое имеет разрешение. Это может привести к сложным ситуациям, поэтому оптимальный подход — не назначать слишком часто разрешений отдельным пользователям, именам входа или иным одиночным субъектам, только ролям.

Третья инструкция разрешения — DENY. Инструкция DENY также запрещает разрешение, но это делается таким образом, что субъект не может унаследовать разрешение через членство в группе. При запрете разрешения с помощью инструкции DENY субъект просто не может иметь его. Благодаря этой инструкции удается достичь глубокой детализации разрешений. Типичный пример — предоставить всем работникам подразделения набор разрешений через членство в роли. Но затем можно уточнить схему, запрещая разрешения определенным пользователям или другой роли, к которой принадлежит лишь часть сотрудников. При этом используется возможность пользователей принадлежать к нескольким ролям.

Предостережение: с помощью этих трех инструкций очень легко создать чрезвычайно сложные и извилистые наборы разрешений, которые трудно обслуживать. При этом возрастает опасность возникновения уязвимых мест. Стремитесь к простоте, и вы добьетесь надежности.

Субъекты безопасности: кто должен получить разрешение?

В данной статье не уделяется большого внимания субъектам безопасности, но все же следует отметить, что в SQL Server имеются субъекты безопасности различных типов, которым можно предоставить разрешение на объект. Список субъектов, приведенный ниже, охватывает реальных пользователей, прошедших проверку подлинности Windows или SQL Server, сопоставления субъектов в различных областях, а также приложения, асимметричные ключи и даже сертификаты безопасности.

Ответы

Коллеги, мне помогло снятие галочки с чекбокса "Зарегистрировать адреса этого подключения в DNS" в дополнительных настройках протокола IPv4 на внешнем интерфейсе сервера. Как я понял была проблема разрешения имен по направлению внешнего интерфейса, так как там просто не было серверов DNS которые могли бы разрешить имя сервера. С момента снятия этой галочки ошибки с разрешением имен и обновлений GPO больше не появляются!

Читайте также: