none
タスクスケジューラの実行するアカウントについて RRS feed

  • 質問

  • お世話になります。
    Microsoft コミュニティより、こちらのフォーラムへ案内されました。

    下記のサーバAのタスクを実行すると
    サーバB側のセキュリティログに「失敗の監査」が出て正常に終了しない事象が発生しました。
    サーバB側にアカウント「TEST」を追加することで解決しましたが疑問が残っています。


    【失敗の監査の内容】
     ①イベントID : 529
       ログオンアカウント : TEST
       ソースワークステーション : サーバA

     ②イベントID : 680
       ユーザー名 : TEST
       ドメイン : サーバA

    【環境】
     サーバA
      OS : Windows Server 2003 R2 Standard Edition
      タスク : VBSを毎日決められた時間に実行。
             実行するアカウント名は「サーバA\TEST」 (TESTの権限はAdministratorsで、パスワードは無期限)
             VBSの処理内容は、サーバBのSQL Server 2008 R2へ接続し、テーブルへデータの追加・削除などの処理をしている。
             VBSのなかでSQL Server 2008 R2への認証情報を記述(サーバBのIPアドレス、SQLServerのユーザID、パスワード)

     サーバB (SQL Server 2008 R2を導入している)
      OS : Windows Server 2003 R2 Standard Edition

    【質問】
     実行するアカウント名に指定したユーザIDで他サーバへログインするのでしょうか。
     ですが、今回のケースでは実行するアカウント名は「サーバA\TEST」であり、セキュリティログにもドメインはサーバAとなっているにもかかわらず
     サーバBへアカウント「TEST」を追加することで解決したことにも疑問が残ります。
     状況証拠からの原因の憶測なので、タスクについて解説お願いします。

    以上。


    2014年5月21日 4:13

すべての返信

  • サーバAとサーバBのアカウント「TEST」には同一のパスワードを設定していたりしますか?
    あと、それぞれローカルアカウントですよね?
    単純にパススルー認証(でしたっけ?)が行われているだけかと思うのですが・・・。
    アカウント「TEST」の権限で実行しているので、「自身のサーバー\TEST」で認証を試み、失敗したから「相手のサーバー\TEST」で認証を再度試みている、という流れになっているということではないでしょうか?

    話題がずれますが、タスクを Administrators の権限で実行するのは、セキュリティ上お勧めしません。
    「必要最小限の権限のみを与える」というセキュリティの原則から逸脱しているから、と考えてください。
    公開のフォーラムでログが残りますので、念のためこの場で記しておきます。
    #単に独立した検証環境で一時的に設定しているだけ、などであれば問題ないかと思いますので、その場合はスルーしてください。


    MCITP(Database Developer/Database Administrator)

    2014年5月21日 5:53

  • 同一のパスワードを設定しました。

    >あと、それぞれローカルアカウントですよね?
    ローカルアカウントです。
    サーバAには「サーバA\TEST」
    サーバBには「サーバB\TEST」

    >単純にパススルー認証(でしたっけ?)が行われているだけかと思うのです
    が・・・。
    >アカウント「TEST」の権限で実行しているので、「自身のサーバー\TEST」で認証
    を試み、失敗したから「相手のサーバー\TEST」で認>証を再度試みている、という
    流れになっているということではないでしょうか?
    パススルー認証については調べてみます。
    サーバA側のセキュリティログには失敗の監査はありません。

    (サーバA側のセキュリティログ)
     「サーバA\TEST」の成功の監査 ⇒ イベントID(560) でオブジェクトアクセス
    (.jobの実行)で成功の監査

    (サーバB側のセキュリティログ)
     サーバA側のイベントID(560)と同じ時間に、最初に記載した①②の失敗の監査が出


    その後、サーバB側にアカウント「TEST」を作成して成功した際のセキュリティログ
    の変化ですが
    「サーバB\TEST」でログイン試行していると思われるログに変わりました。

    (サーバA側のセキュリティログ)
     変化なし。

    (サーバB側のセキュリティログ)
     サーバA側のイベントID(560)と同じ時間に、成功の監査が出力(失敗は1件もな
    し)
     ①イベントID : 680
       ユーザー名 : TEST
       ドメイン : サーバA

     ②イベントID : 540
       ユーザー名 : TEST
       ドメイン : サーバB


    >話題がずれますが、タスクを Administrators の権限で実行するのは、セキュリ
    ティ上お勧めしません。
    >「必要最小限の権限のみを与える」というセキュリティの原則から逸脱している
    から、と考えてください。
    >公開のフォーラムでログが残りますので、念のためこの場で記しておきます。
    >#単に独立した検証環境で一時的に設定しているだけ、などであれば問題ないかと
    思いますので、その場合はスルーしてください。
    これについては勉強不足でした。改善を検討します。


    2014年5月21日 12:26