Création et Configuration de comptes Active Directory pour SQL Server 2014
Lors de l'installation de SQL Server, il est conseillé d'utiliser des comptes Active Directory pour les services :
- Un compte NomDeDomaine\SQLServer pour le service d'instance
- Un compte NomDeDomaine\SQLAgent pour le service SQL Agent
Les ACL à accorder à ces comptes sont les suivants :
- Ouvrir une session en tant que service (SeServiceLogonRight)
- Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege)
- Contourner la vérification de parcours (SeChangeNotifyPrivilege)
- Ajuster les quotas de mémoire pour un processus (SeIncreaseQuotaPrivilege)
Les actions se font donc en deux temps : création des utilisateurs puis création de la GPO.
Création des utilisateurs Active Directory
Les actions sont à réaliser sur le serveur Active Directory.
Aller dans "Outils d'Administration" / "Utilisateurs et Ordinateurs Active Directory".
Dans "Utilisateurs", cliquer droit sur "Nouveau" / "Utilisateur"
Saisir le nom d'utilisateur : SQLServer
Entrer un mot de passe et cocher "Le mot de passe n'expire jamais". Suivant.
Terminer.
Recommencer "Nouveau" / "Utilisateur"
Entre le nom d'utilisateur : SQLAgent
Entrer un mot de passe et cocher "Le mot de passe n'expire jamais". Suivant.
Terminer.
Création de la GPO
Toujours sur le serveur Active Directory, aller dans "Outils d'Administration" / "Gestion des Stratégies de Groupe".
Cliquer droit sur le domaine sur "Créer un objet GPO et le lier ici".
Nommer la GPO : GPO_SQLServer
Cliquer droit sur "Modifier".
Aller dans "Configuration Ordinateur" / "Stratégies" / "Paramètres Windows" / "Paramètres de Sécurité" / "Stratégies locales" / "Attribution des droits Utilisateur".
Sélectionner "Ouvrir une session en tant que service".
Cliquer droit sur "Propriétés".
Ajouter les utilisateurs NomDeDomaine\SQLServer puis NomDeDomaine\SQLAgent puis faire "Ok"
Aller dans "Configuration Ordinateur" / "Stratégies" / "Paramètres Windows" / "Paramètres de Sécurité" / "Stratégies locales" / "Attribution des droits Utilisateur".
Sélectionner "Remplacer un jeton de niveau processus"
Cliquer droit sur "Propriétés".
Ajouter les utilisateurs NomDeDomaine\SQLServer puis NomDeDomaine\SQLAgent puis faire "Ok"
Aller dans "Configuration Ordinateur" / "Stratégies" / "Paramètres Windows" / "Paramètres de Sécurité" / "Stratégies locales" / "Attribution des droits Utilisateur".
Sélectionner "Contourner la vérification de parcours"
Cliquer droit sur "Propriétés".
Ajouter les utilisateurs NomDeDomaine\SQLServer puis NomDeDomaine\SQLAgent puis faire "Ok"
Aller dans "Configuration Ordinateur" / "Stratégies" / "Paramètres Windows" / "Paramètres de Sécurité" / "Stratégies locales" / "Attribution des droits Utilisateur".
Sélectionner "Ajuster les quotas de mémoire pour un processus"
Cliquer droit sur "Propriétés".
Ajouter les utilisateurs NomDeDomaine\SQLServer puis NomDeDomaine\SQLAgent puis faire "Ok"
Les utilisateurs AD ont maintenant les bons droits.
Ils peuvent être utilisés pour la configuration des services "SQL Server Database Engine" et "SQL Server Agent".