Feb
13
初始安装MSSQL SERVER前,新建一个属于users组的用户,我这里名为SQLADMIN,建议密码尽量设置的复杂一点。
然后在安装mssql进行到服务帐户这步时候,选择启动帐户用户名为sqladmin即可
如图1所示:
安装完毕,我先打上sp4补丁,在“服务管理器”中启动SQL server,完全没有问题
如图2所示:
原因是安装时候选择指定的帐户为服务启动用户,mssql为自动为以下目录添加sqladmin的完全控制权限,我的sql程序文件在C盘,数据库文件放D盘:
C:\Program Files\Microsoft SQL Server\MSSQL
C:\Program Files\Microsoft SQL Server\MSSQL\Binn
C:\Program Files\Microsoft SQL Server\MSSQL\Install
C:\Program Files\Microsoft SQL Server\MSSQL\Upgrade
D:\Program Files\Microsoft SQL Server\MSSQL
D:\Program Files\Microsoft SQL Server\MSSQL\BACKUP
D:\Program Files\Microsoft SQL Server\MSSQL\Data
D:\Program Files\Microsoft SQL Server\MSSQL\FTDATA
D:\Program Files\Microsoft SQL Server\MSSQL\JOBS
D:\Program Files\Microsoft SQL Server\MSSQL\LOG
D:\Program Files\Microsoft SQL Server\MSSQL\REPLDATA
以下注册表路径会被添加sqladmin的完全控制权限:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\Providers
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\Replication
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\Setup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\SQLServerAgent
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\Tracking
SQLAGENT服务启动也完全没有问题
PS:使用低权限用户启动SQL SERVER对于防止通过web sql注入和sql扩展提权具有重要意义,之所以建议使用users组用户启动,因为有可能目录和注册表还是需要有users组权限读取
欢迎大家就此问题和我共同交流探讨
然后在安装mssql进行到服务帐户这步时候,选择启动帐户用户名为sqladmin即可
如图1所示:
安装完毕,我先打上sp4补丁,在“服务管理器”中启动SQL server,完全没有问题
如图2所示:
原因是安装时候选择指定的帐户为服务启动用户,mssql为自动为以下目录添加sqladmin的完全控制权限,我的sql程序文件在C盘,数据库文件放D盘:
C:\Program Files\Microsoft SQL Server\MSSQL
C:\Program Files\Microsoft SQL Server\MSSQL\Binn
C:\Program Files\Microsoft SQL Server\MSSQL\Install
C:\Program Files\Microsoft SQL Server\MSSQL\Upgrade
D:\Program Files\Microsoft SQL Server\MSSQL
D:\Program Files\Microsoft SQL Server\MSSQL\BACKUP
D:\Program Files\Microsoft SQL Server\MSSQL\Data
D:\Program Files\Microsoft SQL Server\MSSQL\FTDATA
D:\Program Files\Microsoft SQL Server\MSSQL\JOBS
D:\Program Files\Microsoft SQL Server\MSSQL\LOG
D:\Program Files\Microsoft SQL Server\MSSQL\REPLDATA
以下注册表路径会被添加sqladmin的完全控制权限:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\Providers
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\Replication
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\Setup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\SQLServerAgent
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\Tracking
SQLAGENT服务启动也完全没有问题
PS:使用低权限用户启动SQL SERVER对于防止通过web sql注入和sql扩展提权具有重要意义,之所以建议使用users组用户启动,因为有可能目录和注册表还是需要有users组权限读取
欢迎大家就此问题和我共同交流探讨