none
Sharepoint 2010 - права сервисной учетки RRS feed

  • Вопрос

  • Коллеги,

    навязший у всех в зубах вопрос про членство сервисной учетки (под которой работает пул Central Administration) в группе локальных администраторов компьютера.

    Везде пишется, что она не должны быть в группе локальных администраторов компьютера (ну, с оговорками насчет первой синхронизации юзерских профилей). И в "Обзоре проблем и решений" сообщение появляется, что это нехорошо.

    У меня эта учетка по какой-то причине таки осталась в локальных админах. И теперь, если я удаляю ее оттуда, перестает работать Центр Администрирования с сообщением "Возникла неожиданная ошибка". Сам узел при этом работает. В Windows- и ULS-журналах я никаких сообщений об ошибках не вижу, учетка включена в группы WSS_*, имеет доступ к базам (ну, это понятно, SQL-сервер отдельный, так что если бы с базами было что-то не так, то локальное администраторство не спасло бы). На всякий случай прогнал "Мастер настройки", думал, он какие-то права поправит - не помогло.

    Включил Security Audit неуспешных доступов к файлам и объектам. Тоже ничего не вижу. Единственное - сообщения 4656 про ошибку доступа - и от имени сервисной учетки, и от имени учетки под которой работают "неупавшие" пулы (см.ниже). Что еще можно проверить?

    A handle to an object was requested.

    Subject:

    Security ID: XXXX\SP_Farm

    Account Name:  SP_Farm

    Account Domain: XXXXX

    Logon ID: 0x186acb8

    Object:

    Object Server: SC Manager

    Object Type: SERVICE OBJECT

    Object Name: WinHttpAutoProxySvc

    Handle ID: 0x0

    Process Information:

    Process ID: 0x24c

    Process Name: C:\Windows\System32\services.exe

    Access Request Information:

    Transaction ID: {00000000-0000-0000-0000-000000000000}

    Accesses: Query status of service

    Start the service

    Query information from service

    Access Reasons: -

    Access Mask: 0x94

    Privileges Used for Access Check: -

    Restricted SID Count: 0

    4 сентября 2014 г. 14:33

Ответы

  • Все, разобрался. Не хватало прав в политике "Impersonate a client after authentication". Локальная политика перекрывалась доменной, поэтому права в ней автоматически не появлялись.
    • Помечено в качестве ответа Игорь Б. _ 5 сентября 2014 г. 9:00
    5 сентября 2014 г. 9:00