有关Windows环境中adm/SAPService权限的问题

2020-09-19 23:03发布

点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)嗨, 这是客户安全团队提...

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

这是客户安全团队提出问题的真实情况。 我们已经在Windows上使用MS SQL Server安装了AS ABAP,并且由sapinst创建的 adm是本地管理员(实际上是Administrators组)的成员。 他们看到这是一个问题,并且除组中的Administrator之外,不需要任何帐户。 我们正在搜索一些正式文档,但是客户仍然认为没有必要拥有本地管理员权限。 我的第一个问题是,如果我们从 adm中删除"管理员"成员身份,会发生什么? 它会破坏SAP支持吗? 否则其他东西将停止工作?

不仅是OS级问题,对于MSSQL Server, adm和SAPService 帐户均在MS SQL Server中创建(用于Windows集成身份验证),并且在MSSQL中被授予" sysadmin"角色,客户可以查看此信息 是一个大问题。 有人知道为什么他们必须是sysadmin吗? 什么样的任务需要sysadmin对? 我们可以将成员资格更改为次要职位吗?

谢谢

3条回答
四川大学会员
2020-09-19 23:35

嗨,

SAP系统管理员 adm可以无限制地访问与SAP系统相关的所有本地资源

adm用户还需要完全访问SAP系统的所有特定于实例的资源,例如文件,共享,外围设备(例如,磁带驱动器或打印机)和网络资源(例如,SAProuter) 服务)。

adm具有特定于SAP实例的环境(变量,注册表设置,组成员身份),该环境允许该用户以适当的方式管理SAP系统。 该用户是本地Administrators组的成员,并且在执行特殊任务(例如升级和管理SAP实例)时具有足够的特权。

特定于客户的创建的用户可能没有完整的环境,因此不支持SAP系统管理任务。

请参阅帮助库中的安全指南中的更多信息:

https://help.sap.com/查看器/621bb4e3951b4a8ca633ca7ed1c0aba2/7.5.9/zh-CN/4d6bfe2cc59f2307e10000000a15822b.html

关于sysadmin角色,原因如下:

  1. 工作过程使用Windows身份验证连接到MS SQL Server实例。 由于工作流程本身是在SAPService 操作系统用户下运行的,因此Windows身份验证尝试将使用SQL Server端的SAPService Windows身份验证登录。
  2. 一旦可以成功建立连接,工作流程就会发出 setuser''命令,以便将连接从SAPService Windows身份验证登录名切换到SQL 服务器登录名为。 由于Windows身份验证登录名SAPService 分配了 sysadmin 服务器角色,因此可以执行此命令而无需提供登录名的密码。

最诚挚的问候,

Manuel

一周热门 更多>