Überwachung mit geringen Berechtigungen

Alle Workflows (Ermittlungen, Regeln, Monitore und Aktionen) in diesem Management Pack sind an ausführende Profile gebunden.

Erteilen Sie zur Aktivierung der Überwachung mit niedrigen Berechtigungen die entsprechenden Berechtigungen für ausführende Konten, und ordnen Sie diese Konten den jeweiligen ausführenden Profilen zu.

Hinweis

Der Monitor Anzahl virtueller Protokolldateien (Virtual Log File Count, VLF) unterstützt nicht die Überwachung mit geringen Berechtigungen bei SQL Server 2012 und 2014.

Agent-Überwachung

In diesem Abschnitt wird erläutert, wie Sie die Agent-Überwachung mit niedrigen Berechtigungen konfigurieren.

In Active Directory

  1. Erstellen Sie in Active Directory die folgenden Domänenbenutzer für den Zugriff mit niedrigen Berechtigungen auf die SQL Server-Zielinstanzen:

    • SQLTaskAction
    • SQLDiscovery
    • SQLMonitor
  2. Erstellen Sie die Domänengruppe SQLMPLowPriv, und fügen Sie der Gruppe die folgenden Domänenbenutzer hinzu:

    • SQLDiscovery
    • SQLMonitor
  3. Erteilen Sie der Gruppe SQLMPLowPriv die Berechtigung Schreibgeschützte Domänencontroller.

Auf Agents

  1. Erteilen Sie dem Benutzer SQLTaskAction und der Gruppe SQLMPLowPriv die Leseberechtigung für HKLM:\Software\Microsoft\Microsoft SQL Server.

  2. Fügen Sie die Benutzer SQLTaskAction und SQLMonitor der lokalen Gruppe EventLogReaders hinzu.

  3. Konfigurieren Sie die lokale Sicherheitsrichtlinie Lokale Anmeldung zulassen so, dass dem Benutzer SQLTaskAction und den Benutzern der Domänengruppe SQLMPLowPriv eine lokale Anmeldung gestattet wird.

  4. Erteilen Sie SQLTaskAction und SQLMPLowPriv die Berechtigungen Methoden ausführen, Konto aktivieren, Remoteaktivierung und Sicherheit lesen für die folgenden WMI-Namespaces:

    • ROOT
    • ROOT\CIMV2
    • ROOT\DEFAULT
    • ROOT\Microsoft\SqlServer\ComputerManagement11 (falls vorhanden)
    • ROOT\Microsoft\SqlServer\ComputerManagement12 (falls vorhanden)
    • ROOT\Microsoft\SqlServer\ComputerManagement13 (falls vorhanden)
    • ROOT\Microsoft\SqlServer\ComputerManagement14 (falls vorhanden)
    • ROOT\Microsoft\SqlServer\ComputerManagement15 (falls vorhanden)
  5. Erteilen Sie für jede überwachte Instanz der Gruppe SQLMPLowPriv die Leseberechtigung für HKLM:\Software\Microsoft\Microsoft SQL Server\[InstanceID]\MSSQLServer\Parameters.

Zusätzliche Schritte für SQL Server-Clusterinstanzen

  1. Führen Sie für jeden Clusterknoten die oben beschriebenen Schritte aus.

  2. Erteilen Sie SQLMPLowPriv und SQLTaskAction mithilfe von „DCOMCNFG“ die DCOM-Berechtigungen Remotestart und Remoteaktivierung.

  3. Lassen Sie die Windows-Remoteverwaltung durch die Windows-Firewall zu.

  4. Erteilen Sie der Gruppe SQLMPLowPriv mithilfe des Failovercluster-Managers den Vollzugriff auf den Cluster.

  5. Erteilen Sie SQLTaskAction und SQLMPLowPriv die Berechtigungen Methoden ausführen, Konto aktivieren, Remoteaktivierung und Sicherheit lesen für den WMI-Namespace root\MSCluster.

Auf SQL Server-Instanzen

  1. Öffnen Sie SQL Server Management Studio, und stellen Sie eine Verbindung mit der Instanz der SQL Server-Datenbank-Engine her.

  2. Erstellen Sie in SQL Server Management Studio für jede Instanz der SQL Server-Datenbank-Engine auf einem überwachten Server eine Anmeldung für SQLMPLowPriv und SQLTaskAction.

    Aktivieren Sie im Fenster Objekttypen das Kontrollkästchen Gruppen, um SQLMPLowPriv hinzuzufügen.

  3. Erstellen Sie die Benutzer SQLMPLowPriv und SQLTaskAction in jeder Benutzer-, Master-, msdb- und Modelldatenbank.

  4. Verknüpfen Sie die SQLMPLowPriv-Benutzer mit der SQLMPLowPriv-Anmeldung und die SQLTaskAction-Benutzer mit der SQLTaskAction-Anmeldung.

    --  This script is an example of how to create new users
    --  in the msdb database. Execute this script
    --  for every database on each SQL instance.
    USE [msdb]
    GO
    CREATE USER [SQLMPLowPriv] FOR LOGIN [SQLMPLowPriv]
    CREATE USER [SQLTaskAction] FOR LOGIN [SQLTaskAction]
    
  5. Erteilen Sie SQLMPLowPriv die folgenden Berechtigungen:

    USE [master]
    GO
    GRANT VIEW SERVER STATE TO [SQLMPLowPriv]
    GRANT VIEW ANY DEFINITION TO [SQLMPLowPriv]
    GRANT VIEW ANY DATABASE TO [SQLMPLowPriv]
    GRANT EXECUTE ON xp_readerrorlog TO [SQLMPLowPriv]
    GRANT EXECUTE ON xp_instance_regread TO [SQLMPLowPriv]
    
    USE [msdb]
    GO
    GRANT SELECT ON sysjobs_view TO [SQLMPLowPriv]
    GRANT SELECT ON sysschedules TO [SQLMPLowPriv]
    GRANT SELECT ON sysjobschedules TO [SQLMPLowPriv]
    GRANT SELECT ON syscategories TO [SQLMPLowPriv]
    GRANT SELECT ON log_shipping_monitor_history_detail TO [SQLMPLowPriv]
    GRANT SELECT ON log_shipping_monitor_secondary TO [SQLMPLowPriv]
    GRANT SELECT ON log_shipping_secondary_databases TO [SQLMPLowPriv]
    GRANT SELECT ON log_shipping_monitor_primary TO [SQLMPLowPriv]
    GRANT SELECT ON log_shipping_primary_databases TO [SQLMPLowPriv]
    GRANT EXECUTE ON sp_help_job TO [SQLMPLowPriv]
    GRANT EXECUTE ON sp_help_jobactivity TO [SQLMPLowPriv]
    GRANT EXECUTE ON SQLAGENT_SUSER_SNAME TO [SQLMPLowPriv]
    
  6. Weisen Sie für die msdb-Datenbank dem Benutzer SQLMPLowPriv sowohl die Rolle SQLAgentReaderRole als auch die Rolle PolicyAdministratorRole zu:

    USE [msdb]
    GO
    ALTER ROLE [SQLAgentReaderRole] ADD MEMBER [SQLMPLowPriv]
    ALTER ROLE [PolicyAdministratorRole] ADD MEMBER [SQLMPLowPriv]
    

Auf SMB-Freigaben

  1. Erteilen Sie Freigabeberechtigungen, indem Sie das Dialogfeld „Freigabeeigenschaften“ für die Freigabe öffnen, auf der die SQL Server-Datendateien oder SQL Server-Transaktionsprotokolldateien gehostet werden.

  2. Erteilen Sie SQLMPLowPriv die Leseberechtigung.

  3. Erteilen Sie NTFS-Berechtigungen, indem Sie das Dialogfeld „Eigenschaften“ für den freigegebenen Ordner öffnen und zur Registerkarte Sicherheit navigieren.

  4. Erteilen Sie SQLMPLowPriv die Leseberechtigung.

Optionale Schritte für Aufgaben auf Agents

Für einige optionale System Center Operations Manager-Aufgaben sind für die Aufgabenausführung höhere Berechtigungen auf einem Agentcomputer und/oder in einer Datenbank erforderlich.

Führen Sie die folgenden Schritte auf einem Agentcomputer oder in einer Datenbank nur aus, wenn Sie dem System Center Operations Manager-Konsolenoperator die Durchführung von Abhilfemaßnahmen gestatten möchten.

  1. Hängt die Aufgabe mit dem Starten oder Beenden eines NT-Diensts zusammen (z. B. Datenbank-Engine-Dienst, SQL Server-Agent-Dienst, SQL-Volltextsuchdienst, Integration Services), erteilen Sie dem Benutzer SQLTaskAction auf dem Agentcomputer die Berechtigung zum Starten oder Beenden eines NT-Diensts. Dabei muss eine Sicherheitsbeschreibung für diesen Dienst festgelegt werden. Weitere Informationen finden Sie unter Sc sdset.

    Lesen Sie mithilfe von sc sdshow die vorhandenen Berechtigungen für den jeweiligen Dienst, und erteilen Sie dem Benutzer SQLTaskAction zusätzliche Berechtigungen.

    Beispiel: Für den SQL Server-Dienst werden folgende Ergebnisse des Befehls sdshow angezeigt:

    *D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)*
    

    In diesem Fall werden mit dem folgenden Befehl ausreichende Zugriffsberechtigungen für SQLTaskAction zum Starten und Beenden des SQL Server-Diensts gewährt. Ersetzen Sie „SQLServerServiceName“ und „SID für SQLTaskAction“ durch die entsprechenden Werte. Geben Sie dabei alles in einer einzigen Zeile an.

    *sc sdset SQLServerServiceName D:(A;;GRRPWP;;;SID for SQLTaskAction)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)*
    
  2. Fügen Sie in SQL Server Management Studio SQLTaskAction der Datenbankrolle db_owner für jede Datenbank hinzu, wenn die Aufgabe mit der Durchführung von Datenbanküberprüfungen zusammenhängt:

    • Katalog überprüfen (DBCC)
    • Datenbank überprüfen (DBCC)
    • Datenträger überprüfen (DBCC) (ruft „DBCC CHECKALLOC“ auf)
    USE [msdb]
    GO
    ALTER ROLE [db_owner] ADD MEMBER [SQLTaskAction]
    
  3. Erteilen Sie der Anmeldung SQLTaskAction die Berechtigung „ALTER ANY DATABASE“, wenn die Aufgabe mit der Änderung des Datenbankstatus zusammenhängt:

    • Datenbank offline schalten
    • Datenbank in den Notfallstatus schalten
    • Datenbank online schalten
    USE [master]
    GO
    GRANT ALTER ANY DATABASE TO [SQLTaskAction]
    

In System Center Operations Manager

  1. Importen Sie das SQL Server-Management Pack.

  2. Erstellen Sie die folgenden Windows-basierten ausführenden Konten:

    • SQLTaskAction
    • SQLDiscovery
    • SQLMonitor
  3. Konfigurieren Sie die ausführenden Profile in der System Center Operations Manager-Konsole wie folgt:

    • Legen Sie fest, dass das ausführende Profil Microsoft SQL Server-Aufgabe das ausführende Konto SQLTaskAction verwendet.
    • Legen Sie fest, dass das ausführende Profil Microsoft SQL Server-Ermittlung das ausführende Konto SQLDiscovery verwendet.
    • Legen Sie fest, dass das ausführende Profil Microsoft SQL Server-Überwachung das ausführende Konto SQLMonitor verwendet.

Verwenden Sie die ausführenden Konten SQLTaskAction, SQLDiscovery und SQLMonitor zur Verwaltung der Instanzen von MSSQL unter Windows: Lokale Datenbank-Engine, um Probleme bei der SQL Server-Überwachung zu vermeiden.

Überwachung ohne Agent

[Gilt für SQL Server unter Windows und Linux.]

In diesem Abschnitt wird erläutert, wie Sie die Überwachung mit niedrigen Berechtigungen ohne Agent konfigurieren.

Auf SQL Server-Instanzen

  1. Öffnen Sie SQL Server Management Studio, und stellen Sie eine Verbindung mit der Instanz der SQL Server-Datenbank-Engine her.

  2. Erstellen Sie in SQL Server Management Studio für jede Instanz der SQL Server-Datenbank-Engine auf einem überwachten Server eine SQL-Anmeldung für SQLMPLowPriv für die Überwachung.

  3. Erstellen Sie den Benutzer SQLMPLowPriv in jeder Benutzerdatenbank und in den Datenbanken master, msdb und model.

  4. Verknüpfen Sie die SQLMPLowPriv-Benutzer mit der SQLMPLowPriv-Anmeldung:

    --  This script is an example of how to create new users
    --  in the msdb database. Execute this script
    --  for every database on each SQL instance.
    USE [msdb]
    GO
    CREATE USER [SQLMPLowPriv] FOR LOGIN [SQLMPLowPriv]
    
  5. Erteilen Sie SQLMPLowPriv die folgenden Berechtigungen:

    USE [master]
    GO
    GRANT VIEW SERVER STATE TO [SQLMPLowPriv]
    GRANT VIEW ANY DEFINITION TO [SQLMPLowPriv]
    GRANT VIEW ANY DATABASE TO [SQLMPLowPriv]
    ALTER ROLE [db_datareader] ADD MEMBER [SQLMPLowPriv]
    GRANT EXECUTE ON xp_readerrorlog TO [SQLMPLowPriv]
    GRANT EXECUTE ON xp_instance_regread TO [SQLMPLowPriv]
    
    USE [msdb]
    GO
    GRANT SELECT ON sysjobs_view TO [SQLMPLowPriv]
    GRANT SELECT ON syscategories TO [SQLMPLowPriv]
    GRANT SELECT ON sysschedules TO [SQLMPLowPriv]
    GRANT SELECT ON sysjobschedules TO [SQLMPLowPriv]
    GRANT SELECT ON log_shipping_monitor_history_detail TO [SQLMPLowPriv]
    GRANT SELECT ON log_shipping_monitor_secondary TO [SQLMPLowPriv]
    GRANT SELECT ON log_shipping_secondary_databases TO [SQLMPLowPriv]
    GRANT SELECT ON log_shipping_monitor_primary TO [SQLMPLowPriv]
    GRANT SELECT ON log_shipping_primary_databases TO [SQLMPLowPriv]
    GRANT EXECUTE ON sp_help_job TO [SQLMPLowPriv]
    GRANT EXECUTE ON sp_help_jobactivity TO [SQLMPLowPriv]
    GRANT EXECUTE ON SQLAGENT_SUSER_SNAME TO [SQLMPLowPriv]
    
  6. Weisen Sie für die msdb-Datenbank dem Benutzer SQLMPLowPriv sowohl die Rolle SQLAgentReaderRole als auch die Rolle PolicyAdministratorRole zu:

    USE [msdb]
    GO
    ALTER ROLE [SQLAgentReaderRole] ADD MEMBER [SQLMPLowPriv]
    ALTER ROLE [PolicyAdministratorRole] ADD MEMBER [SQLMPLowPriv]
    

Für einige optionale System Center Operations Manager-Aufgaben sind für die Aufgabenausführung höhere Berechtigungen auf einem Agentcomputer und/oder in einer Datenbank erforderlich.

Führen Sie die folgenden Schritte nur aus, wenn Sie dem System Center Operations Manager-Konsolenoperator die Durchführung von Abhilfemaßnahmen auf diesem Ziel gestatten möchten.

  1. Fügen Sie in SQL Server Management Studio SQLMPLowPriv der Datenbankrolle db_owner für jede Datenbank hinzu, wenn die Aufgabe mit der Durchführung von Datenbanküberprüfungen zusammenhängt:

    • Katalog überprüfen (DBCC)
    • Datenbank überprüfen (DBCC)
    • Datenträger überprüfen (DBCC) (ruft „DBCC CHECKALLOC“ auf)
    USE [yourdatabase]
    GO
    ALTER ROLE [db_owner] ADD MEMBER [SQLMPLowPriv]
    GO
    
  2. Erteilen Sie SQLMPLowPriv die Berechtigung „ALTER ANY DATABASE“, um die folgenden Datenbankaufgaben auszuführen:

    • Datenbank online schalten
    • Datenbank offline schalten
    • Datenbank in den Notfallzustand schalten
    USE [master]
    GO
    GRANT ALTER ANY DATABASE TO [SQLMPLowPriv]
    

Verwenden des Überwachungs-Assistenten

Führen Sie für die Konfiguration der Überwachung mit niedrigen Berechtigungen ohne Agent mithilfe des Überwachungs-Assistenten die im Abschnitt Konfigurieren des Überwachungsmodus ohne Agent beschriebenen Schritte aus. Beachten Sie jedoch die folgenden Änderungen:

  1. Klicken Sie im Fenster Assistent zum Hinzufügen von Monitoren auf Instanzen hinzufügen.

  2. Wählen Sie im Fenster Instanzen hinzufügen ein allgemeines ausführendes Konto mit der entsprechenden SQL-Anmeldung mit niedrigen Berechtigungen aus, und geben Sie Datenquellen und/oder Verbindungszeichenfolgen an.

    Beispiel:

    • 172.31.2.133;MachineName="W12BOX-839";InstanceName="MSSQLSERVER";Platform="Windows"
    • 172.31.2.133,50626;MachineName="W12BOX-839";InstanceName="SQLEXPRESS";Platform="Windows"
    • 172.17.5.115;MachineName="ubuntu";InstanceName="MSSQLSERVER";Platform="Linux"

    Sie können auch ein neues ausführendes Konto erstellen. Klicken Sie dazu im Fenster Instanzen hinzufügen auf Neu, geben Sie einen neuen Namen für das ausführende Konto ein, und geben Sie die Anmeldeinformationen für den Zugriff auf die SQL Server-Instanz an, die Sie überwachen möchten.

    New Run As account

    Sobald die Verbindung hergestellt ist, können Sie die Eigenschaften der hinzugefügten Instanz anzeigen und bearbeiten.

    Instance properties

Überwachung im gemischten Modus

Führen Sie zur Konfiguration der Überwachung im gemischten Modus mit niedrigen Berechtigungen die im Abschnitt Agent-Überwachung beschriebenen Schritte aus. Führen Sie zudem folgende Aktionen durch:

Verwalten des Remotezugriffs auf WMI

Führen Sie zum Konfigurieren der Sicherheit für Konten mit niedrigen Berechtigungen die folgenden Schritte auf allen Überwachungsservern im gemischten Modus aus:

  1. Starten Sie die Konsole mmc.exe, und fügen Sie die folgenden Snap-Ins hinzu:

    • Komponentendienste
    • WMI-Steuerung (für lokalen Computer)
  2. Erweitern Sie Komponentendienste, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und wählen Sie Eigenschaften aus.

    Opening properties

  3. Öffnen Sie die Registerkarte COM-Sicherheit.

  4. Klicken Sie im Bereich Start- und Aktivierungsberechtigungen auf Grenzwerte bearbeiten.

    Editing limits

  5. Erteilen Sie dem Konto des Remotecomputers die folgenden Berechtigungen:

    • Remotestart
    • Remoteaktivierung

    Activating permissions

  6. Wechseln Sie zum Snap-In WMI-Steuerung, und öffnen Sie dessen Eigenschaften.

  7. Öffnen Sie die Registerkarte Sicherheit, und wählen Sie die folgenden Namespaces aus:

    • ROOT\CIMV2
    • ROOT\Microsoft\SqlServer
    • ROOT\Microsoft\SqlServer\ComputerManagement11 (falls vorhanden)
    • ROOT\Microsoft\SqlServer\ComputerManagement12 (falls vorhanden)
    • ROOT\Microsoft\SqlServer\ComputerManagement13 (falls vorhanden)
    • ROOT\Microsoft\SqlServer\ComputerManagement14 (falls vorhanden)
    • ROOT\Microsoft\SqlServer\ComputerManagement15 (falls vorhanden)
  8. Klicken Sie auf Sicherheit.

  9. Erteilen Sie dem Zielcomputer die folgenden Berechtigungen:

    • Konto aktivieren
    • Remoteaktivierung

    Security permissions

  10. Klicken Sie auf Erweitert.

  11. Wählen Sie das Zielkonto aus, und klicken Sie auf Bearbeiten.

  12. Wählen Sie in der Dropdownliste Gilt für die Option Nur dieser Namespace aus.

  13. Aktivieren Sie im Abschnitt Berechtigungen die folgenden Kontrollkästchen:

    • Konto aktivieren
    • Remoteaktivierung

    Configuring CIMV permissions

Erteilen von Dienstberechtigungen

Führen Sie die folgenden Schritte aus, um die zum Abrufen von Informationen zu den Diensten erforderlichen Berechtigungen zu erteilen:

  1. Öffnen Sie die PowerShell-Konsole.

  2. Führen Sie den folgenden Befehl aus, um eine Spotlight-Benutzer-SID abzurufen:

    function GetSidByName($userName){
    $objUser = New-Object System.Security.Principal.NTAccount($userName)
    $strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])
    return $strSID.Value
    }
    GetSidByName 'domainName\userName'
    

    Ersetzen Sie domainName\userName durch den Domänen- und Benutzernamen für das Spotlight-Benutzerkonto.

    Replacing spotlite user

  3. Führen Sie über die Windows-Eingabeaufforderung den folgenden Befehl aus, um die aktuelle SDDL für den Dienststeuerungs-Manager abzurufen:

    sc sdshow scmanager > file.txt
    

    Die SDDL wird in der Datei file.txt gespeichert und sieht in etwa wie folgt aus:

    D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD). 
    
  4. Ändern Sie die SDDL-Zeichenfolge, indem Sie den SDDL-Abschnitt kopieren, der mit IU (Interactive Users, interaktive Benutzer) endet.

    Dieser Abschnitt ist in Klammern eingeschlossen („A;;CCLCRPRC;;;IU“). Fügen Sie diese Klausel direkt nach der Klausel ein, die Sie kopiert haben.

    Ersetzen Sie im folgenden Text die IU-Zeichenfolge durch die Spotlight-Benutzer-SID.

    Die neue SDDL sieht in etwa wie folgt aus:

    D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU) (A;;CCLCRPRC;;;S-1-5-21-214A909598-1293495619-13Z157935-75714)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA) S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)
    
  5. Legen Sie die Sicherheitsanmeldeinformationen für den Zugriff auf den Dienststeuerungs-Manager mithilfe des Befehls sdset fest.

    sc sdset scmanager "D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CCLCRPRC;;;S-1-5-21-214A909598-1293495619-13Z157935-75714)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)"
    
  6. Legen Sie Berechtigungen für die Dienste SQL Server, SQL Agent und das Startprogramm für SQL-Volltextfilterdaemon fest, indem Sie das Hilfsprogramm SubInACL-Befehlszeilentool für die Spotlight-Benutzer-SID verwenden.

    Führen Sie das Hilfsprogramm mit den folgenden Optionen aus:

    subinacl.exe /service mssqlserver /GRANT= S-1-5-21-214A909598-1293495619-13Z157935-75714=LQSEI
    
    subinacl.exe /service sqlserveragent /GRANT= S-1-5-21-214A909598-1293495619-13Z157935-75714=LQSEI
    
    subinacl.exe /service mssqlfdlauncher /GRANT= S-1-5-21-214A909598-1293495619-13Z157935-75714=LQSEI
    

    Running subinacl

    Die folgenden Berechtigungen haben die folgende Bedeutung:

    • L: Steuerung lesen
    • Q: Dienstkonfiguration abfragen
    • S: Dienststatus abfragen
    • E: Abhängige Dienste aufzählen
    • I: Dienst abfragen
  7. Legen Sie die Berechtigungen für ClusSvc (Cluster Service, Clusterdienst) mithilfe des Hilfsprogramms SubInACL-Befehlszeilentool für die Spotlight-Benutzer-SID fest.

    Führen Sie das Hilfsprogramm mit den folgenden Optionen aus:

    subinacl.exe /service clussvc /GRANT= S-1-5-21-214A909598-1293495619-13Z157935-75714=LQSEI
    

Verwalten des Remotezugriffs auf die Registrierung

Erstellen Sie einen Registrierungsschlüssels zum Verwalten des Remotezugriffs auf die Registrierung.

Führen Sie die folgenden Schritte aus, um einen Schlüssel zu erstellen:

  1. Öffnen Sie den Registrierungs-Editor („Regedt32.exe“), und suchen Sie den Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control.

  2. Klicken Sie im Menü Bearbeiten auf Schlüssel hinzufügen, und geben Sie die folgenden Werte ein:

    • Schlüsselname: SecurePipeServers
    • Klasse: REG_SZ
  3. Suchen Sie den folgenden Schlüssel: „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers“.

  4. Klicken Sie im Menü Bearbeiten auf Schlüssel hinzufügen, und geben Sie die folgenden Werte ein:

    • Schlüsselname: winreg
    • Klasse: REG_SZ
  5. Suchen Sie den folgenden Schlüssel: „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg“.

  6. Klicken Sie im Menü Bearbeiten auf Schlüssel hinzufügen, und geben Sie die folgenden Werte ein:

    • Wertname: Beschreibung
    • Datentyp: REG_SZ
    • Zeichenfolge: Registrierungsserver
  7. Suchen Sie den folgenden Schlüssel: „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg“.

  8. Klicken Sie mit der rechten Maustaste auf winreg, und klicken Sie anschließend auf Berechtigungen. Bearbeiten Sie die aktuellen Berichtigungen, oder fügen Sie die Benutzer oder Gruppen hinzu, denen Sie Berechtigungen erteilen möchten.

  9. Beenden Sie den Registrierungs-Editor, und starten Sie Windows neu.