Hinweise zu Zugriffsrechten eines Dienstes

Aus GEVITAS
Wechseln zu: Navigation, Suche

1 Allgemeines

GEVITAS-Service-Anwendungen wie z.B. GEVITAS CloudSync oder der GEVITAS-ApplicationService sind Programme, die als Windows-Dienst ("Service") funktionieren. Diese Dienste benötigen normalerweise den Zugriff auf eine Datenbank. Also muss der Zugriff irgendwie eingerichtet werden. Dies wird hier beschrieben.

2 "User" des Dienstes

Direkt nach der Installation wird dem Dienst ein Anonymes System-Konto zugewiesen. Standardmäßig ist dies das Konto "NT-AUTORITÄT\ANONYMUS-ANMELDUNG". Normalerweise hat dieses Konto keine Rechte innerhalb des Systems. Deshalb sollten Sie dem Dienst ein anderes Konto zuweisen, wie unten beschrieben.

3 Zugriff auf Verzeichnisse und Laufwerke

Dem Konto ("User"), zu dem der Dienst gehört, müssen u.U. Rechte auf Verzeichnisse oder Laufwerke zugewiesen werden.


4 Zugriff auf SQL-Server und Datenbanken

Mit Hilfe des Konfigurationsprogramms des Dienstes (z.B. dem GCSManager für den GEVITAS-Cloud-Sync-Dienst) kann man den Zugang zum SQL-Server festlegen. Wenn man dabei die Option "Zugang über Benutzer-Anmeldung" gewählt hat, greift der Dienst mit einem speziellen User/Passwort auf den SQL-Server zu. Hier erfolgt die Anmeldung an den SQL-Server also über einen speziellen SQL-User mit einem Passwort. Es muss also zuvor im SQL-Server ein Benutzer mit einem Passwort anlegt worden sein. Der User-Name ist beliebig, z.B. "GevitasSync". Wenn Sie zuvor schon einen SQL-User angelegt hatten (z.B. weil Sie mobile Barcode-Scanner verwenden), können Sie auch diesen User für den Zugriff benutzen, z.B. "REFLEX".

Wenn man die Option "Zugang über Benutzer-Anmeldung" ausgeschaltet hat, greift der Dienst mit einem Windows-Systemkonto auf den SQL-Server zu. Direkt nach der Installation ist dies das Konto "NT-AUTORITÄT\ANONYMUS-ANMELDUNG". Dieses Konto hat kein Zugriffsrecht auf den SQL-Server und so erhalten Sie die Fehlermeldung 

Service fehlgeschlagen bei start:[FireDAC][Phys][ODBC][Microsoft][SQL Server Native Client 11.0][SQL Server]
Fehler bei der Anmeldung für den Benutzer 'NT-AUTORITÄT\ANONYMOUS-ANMELDUNG'.

im Windows-Ereignisprotokoll.

  • Eine Windows-Service-Anwendung läuft immer im Hintergrund und kann keine Meldungen anzeigen!
  • Deshalb werden Fehlermeldungen des Dienstes in das Ereignisprotokoll von Windows geschrieben.
  • Zusätzlich versucht der Dienst, die Fehlermeldung in eine eigene Log-Datei zu schreiben. Für den GEVITAS-Cloud-Sync-Dienst ist das die Datei "Server.log" im Ordner "Öffentliche Dokumente\Gevitas\GevitasCloudSyncLog". Mit der anonymen Anmeldung hat der Dienst aber normalerweise keinerlei Zugriffsrechte innerhalb des Rechners (Servers)! Deshalb kann er dieses Verzeichnis weder anlegen noch eine Datei darin beschreiben!

5 NT-Systemkonto

Wenn man die Option "Zugang über Benutzer-Anmeldung" ausgeschaltet hat, greift der Dienst mit einem Windows-Systemkonto auf den SQL-Server zu. Direkt nach der Installation ist dies das Konto "NT-AUTORITÄT\ANONYMUS-ANMELDUNG".

5.1 Konto für den Dienst festlegen

  • Öffnen Sie in der Windows-Systemsteuerung "Dienste". Suchen Sie in der Liste nach dem Dienst "GEVITAS CloudSync-Service" und klicken Sie mit der rechten Maustaste darauf.
  • Wählen Sie "Eigenschaften" aus dem Menü.
  • Klicken Sie auf das Register "Anmelden" und darin auf die Option "Dieses Konto".
  • Klicken Sie auf den Button "Durchsuchen". Wenn Sie den exakten Benutzer-/Konto-Namen wissen, geben Sie ihn ein.
    • Wenn nicht, klicken Sie auf "Erweitert".
    • Klicken Sie auf "Jetzt suchen" und wählen das gewünschte Konto aus der Liste aus. Beispiel:

GevitasCloudSync DienstEinrichten DiensteKontoBsp.png

    • Geben Sie das Passwort des ausgewählten Kontos ein und bestätigen Sie es.
  • Speichern Sie die Änderungen mit OK.
  • Geben Sie nun im SQL-Server diesem User die entsprechenden Rechte auf den Server und die Datenbank!


6 Links

Abgerufen von „http://www.gevitas.de/wiki/index.php?title=Hinweise_zu_Zugriffsrechten_eines_Dienstes&oldid=9040