Описание MS SQL Права учетной записи программы установки
Столкнулся с такой проблемой удаления экземпляра Microsoft SQL Server 2017:
Ошибка гласит:
Проверка правила «Права учетной записи программ установки» окончилась неудачно.
Учетная запись, выполняющая установку SQL Server, не имеет части следующих прав: права архивации файлов и папок, права управления аудитом и журналами безопасности и права отладки программ. Чтобы продолжить установку, войдите в систему с учетной записью, имеющей все эти права.
Решение MS SQL Права учетной записи программы установки
1) Идем в оснастку Локальная политика безопасности
Win + R и вводим secpol.msc
Другие полезные команды в шпаргалке по musthave командам Windows
2) В открывшейся оснастке идем в Параметры безопасности > Локальные политики > Назначение прав пользователя
3) Добавляем своего пользователя в группы Восстановление файлов и каталогов, Отладка программ, Управление аудитом и журналом безопасности
4) Если у вас Active Directory и вы по бестпрактису секюрности домена убрали всех пользователей из группы Отладка программ, как я :), то идем на контроллер домена, ищем в GPO политику и временно добавляем себя в эту группу, а после установки/удаления MS SQL Server, возвращаем всё как было.
5) Всё работает, Вы восхитительны
Если Вам было полезно или есть вопросы, оставляйте комментарии, всем удачи 
- Remove From My Forums
-
Question
-
hello everybody,
i need to install sql server express 2014 , but i can not enable
1. SeSecurityPrivilege
2. SeBackupPrivilege
3. SeDebugPrivilege1. i go to => Local Policies => User Rights Assignment
instead of using administrators , i already assigned Everyone to the setting.
2. i checked on cmd , c:>whoami/priv
But all above three Privilege still state disabled
is there anyone can help me , for this issues ?
Answers
-
Hi wahsidin,
Firstly, after assigning the above three privileges to your account in “Local Policies”, if all the three privileges (SeSecurityPrivilege, SeBackupPrivilege, SeDebugPrivilege) are listed in command prompt, it indicates that you assign account privileges
successfully. Besides, the state of privileges is really just «is that privilige currently enabled for the process, there is athread for your reference.
Secondly, to solve the error “Setup account privileges failed”, please also make sure the following things besides assigning the above three privileges to the account which you are running SQL Server 2014 Express setup.
1. Ensure that the account which you use to launch SQL Server 2014 Express setup is local administrator on the server.
2. Make sure you run the setup by right-clicking and choose Run-as-Administrator.For more details about troubleshooting “Setup account privileges failed” issue, please review this article.
Regards,
Ice Fan
Ice Fan
TechNet Community Support
-
Proposed as answer by
Friday, December 4, 2015 10:33 AM
-
Marked as answer by
Lydia ZhangMicrosoft contingent staff
Wednesday, December 16, 2015 3:08 AM
-
Proposed as answer by
-
Hello,
If the computer belongs to an active directory domain you may need to talk to your network administrator, because some
group policies may have disabled those user rights.
Adding those user rights on local group policies or trying to install with a local administrator won’t work if domain policies are in effect.Hope this helps.
Regards,
Alberto Morillo
SQLCoffee.com-
Edited by
Alberto MorilloMVP
Tuesday, December 1, 2015 4:06 PM -
Proposed as answer by
Ice Fan
Wednesday, December 16, 2015 1:27 AM -
Marked as answer by
Lydia ZhangMicrosoft contingent staff
Wednesday, December 16, 2015 3:08 AM
-
Edited by
Проблемы
Рассмотрим следующую ситуацию. Чтобы усилить безопасность, удалите некоторые права пользователей по умолчанию в группу локальных администраторов операционной системе Windows. В процессе подготовки к настройке Microsoft SQL Server на этом компьютере добавьте учетную запись для установки в группу локальных администраторов.
В этом случае после установки или обновления до Microsoft SQL Server, сбой в процессе установки, и получать различные сообщения об ошибках, описанных в следующих разделах.
Сценарий 1: Для новой установки программа установки не выполняется и появляется следующее сообщение об ошибке:
Отказано в доступе
Кроме того могут появиться сообщения об ошибках, в файле Detail.txt отображать следующее:
2009-01-02 00:13:17 SQLEngine:—SqlServerServiceSCM: Ожидание событий nt «NIIT$ GlobalsqlserverRecComplete» должен быть создан
2009-01-02 13:00:20 SQLEngine:—SqlServerServiceSCM: Ожидание событий nt «NIIT GlobalsqlserverRecComplete$» или дескриптор процесса sql сигнала
2009-01-02 13:00:20 Slp: сбой действия конфигурации для функции SQL_Engine_Core_Inst во время ConfigRC и сценарий ConfigRC.
2009-01-02 13:00:20 Slp: доступ запрещен
2009-01-02 13:00:20 Slp: сбой действия конфигурации для функции SQL_Engine_Core_Inst во время ConfigRC и сценарий ConfigRC.
2009-01-02 13:00:20 Slp: System.ComponentModel.Win32Exception: Отказано в доступе
2009-01-02 13:00:20 Slp: в System.Diagnostics.ProcessManager.OpenProcess (Int32 processId, доступ Int32, Boolean throwIfExited)
2009-01-02 13:00:20 Slp: в System.Diagnostics.Process.GetProcessHandle (доступ к Int32, Boolean throwIfExited)
2009-01-02 13:00:20 Slp: в System.Diagnostics.Process.OpenProcessHandle()
2009-01-02 13:00:20 Slp: в System.Diagnostics.Process.get_Handle()
2009-01-02 13:00:20 Slp: в Microsoft.SqlServer.Configuration.SqlEngine.SqlServerServiceBase.WaitSqlServerStart (процесс processSql)
2009-01-02 13:00:20 Slp: в Microsoft.SqlServer.Configuration.SqlEngine.SqlServerServiceSCM.StartSqlServer (String [] parameters)
2009-01-02 13:00:20 Slp: в Microsoft.SqlServer.Configuration.SqlEngine.SqlServerStartup.StartSQLServerForInstall (строка sqlCollation, masterFullPath строка, логическое isConfiguringTemplateDBs)
2009-01-02 13:00:20 Slp: в Microsoft.SqlServer.Configuration.SqlEngine.SqlEngineDBStartConfig.ConfigSQLServerSystemDatabases (EffectiveProperties свойства, логическое isConfiguringTemplateDBs, логическое useInstallInputs)
2009-01-02 13:00:20 Slp: в Microsoft.SqlServer.Configuration.SqlEngine.SqlEngineDBStartConfig.DoCommonDBStartConfig (ConfigActionTiming время)
2009-01-02 13:00:20 Slp: в Microsoft.SqlServer.Configuration.SqlEngine.SqlEngineDBStartConfig.Install (ConfigActionTiming времени, словарь «2 actionData, PublicConfigurationBase spcb)
2009-01-02 13:00:20 Slp: в Microsoft.SqlServer.Configuration.SqlConfigBase.PrivateConfigurationBase.Execute (ConfigActionScenario сценарий, ConfigActionTiming времени, словарь «2 actionData, PublicConfigurationBase spcbCurrent)
2009-01-02 13:00:20 Slp: в Microsoft.SqlServer.Configuration.SqlConfigBase.SqlFeatureConfigBase.Execute (ConfigActionScenario сценарий, ConfigActionTiming времени, словарь «2 actionData, PublicConfigurationBase spcbCurrent)
2009-01-02 13:00:20 Slp: в Microsoft.SqlServer.Configuration.SqlConfigBase.SlpConfigAction.ExecuteAction (строка actionId)
2009-01-02 13:00:20 Slp: в Microsoft.SqlServer.Configuration.SqlConfigBase.SlpConfigAction.Execute (строка actionId, TextWriter errorStream)
2009-01-02 13:00:20 Slp: исключение: System.ComponentModel.Win32Exception.
2009-01-02 13:00:20 Slp: источник: системы.
2009-01-02 13:00:20 Slp: сообщение: доступ запрещен.
Сценарий 2: обновление до SQL Server 2008 сообщит следующее сообщение об ошибке для правила Engine_SqlEngineHealthCheck:
Имя: Engine_SqlEngineHealthCheck описание правила правило: проверяет, является ли можно перезапустить службу SQL Server; или для кластеризованного экземпляра ли SQL Server ресурс находится в оперативном режиме. Результат: Ошибка сообщение/меры по исправлению: не удается перезапустить службу SQL Server; или для кластеризованного экземпляра SQL Server ресурс находится в автономном режиме
Кроме того могут появиться сообщения об ошибках, следующим в файле Detail.txt
2009-05-27 17:50:20 SQLEngine:: механизм проверки контрольной точки «GetSqlServerProcessHandle_1» 2009-05-27 17:50:20 SQLEngine:—SqlServerServiceSCM: Ожидание событий nt «GlobalsqlserverRecComplete$ SQL10» в created2009-05-27 17:50:22 SQLEngine:— SqlServerServiceSCM: Ожидание событий nt «GlobalsqlserverRecComplete$ SQL10» или дескриптор процесса sql для signaled2009-05-27 17:50:22 SQLEngine:—FacetSqlEngineHealthCheck: Engine_SqlEngineHealthCheck: ошибка: доступ запрещен
Scenario3: Сбой установки Microsoft SQL Server 2012 или Microsoft SQL Server 2008 R2
Появится следующее сообщение об ошибке при попытке установить новый экземпляр SQL Server 2012 или SQL Server 2008 R2:
Сбой правила «Настройка учетной записи права». Счет, на котором выполняется программа установки SQL Server не имеет одно или все следующие права: право архивировать файлы и каталоги, право на управление аудитом и журнал безопасности и право на отладку программ. Чтобы продолжить, воспользуйтесь учетной записью с обоих этих прав.
Сценарий 4: Установка SQL Server 2012 или более поздней версии экземпляра завершается неудачей при указании общего сетевого ресурса (UNC-путь) для каталога резервного копирования. При возникновении этой проблемы появляется следующее сообщение об ошибке:
Учетную запись для установки SQL Server не имеет право SeSecurityPrivilege на сервере указанный файл в папке < расположение архива UNC >. Эта привилегия необходима в действие параметра безопасности папки программы установки SQL Server. Чтобы предоставить эту привилегию, добавить учетную запись для установки SQL Server в политику «Управление аудитом и журналом безопасности» с помощью консоли локальной политики безопасности на файловом сервере. Этот параметр доступен в разделе «Назначение прав пользователя» в разделе локальные политики в консоли локальной политики безопасности.
Примечание. Эта проблема возникает, так как учетная запись для установки SQL Server не имеет права SeSecurityPrivilege на файловом сервере, на котором размещается общий сетевой ресурс.
Причина
Данное поведение является особенностью. Помимо добавления учетной записи пользователя, на котором выполняется программа установки локального администратора, учетной записи пользователя программы установки требуются следующие права пользователя по умолчанию для успешного завершения установки.
|
Отображаемое имя объекта локальной политики |
Право пользователя |
|
Архивация файлов и каталогов |
Разрешенные |
|
Отладка программ |
SeDebugPrivilege |
|
Управление аудитом и журналом безопасности |
SeSecurityPrivilege |
Примечание. Дополнительные сведения о разрешениях, необходимых для установки SQL Server обратитесь к разделу «Необходимые условия» следующих статьях MSDN:
Как: установить SQL Server 2008 (программа установки)
Установка SQL Server 2012 с помощью мастера установки (программа установки)
Кроме того Если в общей папке SMB используется как параметр хранения данных каталога и другие каталоги (каталог пользователя базы данных, каталог журнала пользователя базы данных, каталог базы данных TempDB, каталог журнала базы данных TempDB или каталог резервного копирования), следующие дополнительные разрешения требуется для установки учетной записи на SMB файлового сервера, как описано в следующей статье MSDN:
Установить SQL Server с общей папке SMB в качестве варианта хранения
|
SMB сетевой папке |
ПОЛНЫЙ ДОСТУП |
Учетную запись для установки SQL |
|
SMB сетевой папке |
ПОЛНЫЙ ДОСТУП |
Учетная запись службы агента SQL Server и SQL Server |
|
Файлового сервера SMB |
SeSecurityPrivilege |
Учетную запись для установки SQL |
Решение
Чтобы добавить права для учетной записи локального администратора, выполните следующие действия.
-
Войдите на компьютер как пользователь с правами администратора.
-
Нажмите кнопку Пуск, выберите пункт выполнить, введите Control admintoolsи нажмите кнопку ОК.
-
Дважды щелкните значок Локальная политика безопасности.
-
В диалоговом окне Локальные параметры безопасности щелкните Локальные политики, дважды щелкните Назначение прав пользователяи дважды щелкните Архивация файлов и каталогов.
-
В диалоговом окне Архивация файлов и каталогов свойства нажмите кнопку Добавить пользователя или группу.
-
В диалоговом окне Выбор пользователей или групп введите учетную запись пользователя, который используется для установки и два раза нажмите кнопку ОК .
-
Повторите эту процедуру для других двух политик, упомянутых в разделе «Причина».
-
В меню файл выберите команду Exit , чтобы закрыть диалоговое окно Локальные параметры безопасности .
Дополнительная информация
-
Чтобы проверить список привилегий, которые в настоящее время связаны с учетной записи, которая используется для установки, можно использовать средство AccessChk.exe. Чтобы загрузить данное средство, обратитесь по следующему адресу:
http://technet.microsoft.com/en-us/sysinternals/bb664922.aspx
Использование: accesschk.exe — < настройки учетной записи > *
Пример:
c:toolsaccesschk.exe — testdcsetupaccount *
Пример вывода:
SeSecurityPrivilege
Разрешенные
SeRestorePrivilege
SeSystemtimePrivilege
SeShutdownPrivilege
SeRemoteShutdownPrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeSystemProfilePrivilege
SeProfileSingleProcessPrivilege
SeIncreaseBasePriorityPrivilege
SeLoadDriverPrivilege
SeCreatePagefilePrivilege
SeIncreaseQuotaPrivilege
SeChangeNotifyPrivilege
SeUndockPrivilege
SeManageVolumePrivilege
SeImpersonatePrivilege
Право
SeTimeZonePrivilege
SeCreateSymbolicLinkPrivilege
SeInteractiveLogonRight
SeNetworkLogonRight
SeBatchLogonRight
SeRemoteInteractiveLogonRight
-
Настройка учетных записей служб Windows
-
Часто задаваемые вопросы
-
-
Почему при SeSecurityPrivilege на файловом сервере для каталога резервного копирования на общий ресурс UNC?
-
Это разрешение требуется для извлечения списков ACL в каталоге резервных копий по умолчанию убедитесь, что учетная запись службы SQL Server имеет все разрешения на папку. Это также задает списки управления доступом, если разрешения для учетной записи службы SQL, чтобы он мог выполнять резервной копии в каталоге. Программа установки выполняет эти проверяет каталог резервного копирования по умолчанию таким образом, если резервное копирование выполняется в каталоге резервных копий по умолчаниюПосле установки, пользователь не возникает ошибка или проблема ()из-за отсутствия разрешений)При выполнении резервного копирования в каталог по умолчанию.
Примечание. Нужно изменить get и set SeSecurityPrivilege ACL из папок и вложенных папок. Это так, потому что даже пользователи, имеющие разрешения на полный доступ для каталогов нет разрешений для получения или задания данных владельца и аудита из каталога.
-
-
Почему возникает ошибка, описанная в сценарий 4тольков SQL Server 2012 и более поздних версиях SQL Server?
-
В SQL Server 2012 и более поздних версий корпорация Майкрософт начала вспомогательные файлы данных и журнала в общей папке SMB. Как часть этого улучшения установки дополнительных был улучшен для усилить чеки, таким образом, клиенты не возникает ошибок или проблем из-за недостаточных разрешений после установки. В версиях SQL Server pre 2012 клиентов по-прежнему настраивается сетевой путь общего каталога резервного копирования когда учетная запись службы SQL не имеет разрешения на выполнение резервного копирования. Тем не менее они возникнут ошибки после установки в этой ситуации. Эти сценарии теперь запрещена при запуске проверки установки SQL 2012 на общем сетевом ресурсе.
- Remove From My Forums
-
Question
-
Hi
I am very new to preparing installation kit. i wanted to install SQL Express 2008 with full text search option via installation kit. i have administrator rights in my system and as well in in administrators group. for past couple days i have
been looking several web sites. i don’t have any luck and i am getting this error message «rule ‘Setup account privileges’ failed.the account that is
running sql server setup does not have one or both of the following rights: the right to backup files and directories, and the right to manage auditing and the security log. to continue, use an account with both of these rights.»FYI i m using my command line options as
/action=install /Features=SQL,FullText /INSTANCENAME=MyInstance /IACCEPTSQLSERVERLICENSETERMS=true /SQLSVCAccount=»»NT AUTHORITYSYSTEM»» /SQLSYSAdminAccounts=»»NT AUTHORITYNetwork Service»» /SQLSVCStartUpType=»»automatic»»
/AGTSVCAccount=»»NT AUTHORITYNetwork Service»» /AGTSVCStartUpType=»»automatic»» /SQLCollation= «»SQL_Latin1_General_CP1_CI_AI»» /SecurityMode=SQL /SAPWD=»»vinoth»» /SQLUSERDBDIR=»»c:sqldata»»
/SQLUSERDBLOGDIR=»»c:sqlLogs»» SQLBackupDir= «»c:backups»» /SQLTempdbDir=»»c:sqldata»» /SQLTempdbLogDir=»»c:sqldata»» /FileStreamLevel=1 /ErrorReporting=0 /SQMReporting=0Help me fix this problem.
Advance thanks
Answers
-
Hello,
Ok. Let’s try to confirm that the account you are using to install SQL Server has all the privileges required. Please open the Command Prompt with the “Run as Administrator”
option, and run the following command:C:> whoami /priv
You have to see listed the following user rights:
SeBackupPrivilege
SeDebugPrivilege
SeSecurityPrivilege
Hope this helps.Regards,
Alberto Morillo
SQLCoffee.com
- Marked as answer by
Friday, August 9, 2013 12:56 PM
- Unmarked as answer by
Vinoth Kumar MCTS
Friday, August 9, 2013 12:56 PM - Marked as answer by
Ahmed Ibrahim — MSFTMicrosoft employee
Tuesday, August 20, 2013 10:51 PM
- Marked as answer by
- Remove From My Forums
-
Question
-
Hi
I am very new to preparing installation kit. i wanted to install SQL Express 2008 with full text search option via installation kit. i have administrator rights in my system and as well in in administrators group. for past couple days i have
been looking several web sites. i don’t have any luck and i am getting this error message «rule ‘Setup account privileges’ failed.the account that is
running sql server setup does not have one or both of the following rights: the right to backup files and directories, and the right to manage auditing and the security log. to continue, use an account with both of these rights.»FYI i m using my command line options as
/action=install /Features=SQL,FullText /INSTANCENAME=MyInstance /IACCEPTSQLSERVERLICENSETERMS=true /SQLSVCAccount=»»NT AUTHORITYSYSTEM»» /SQLSYSAdminAccounts=»»NT AUTHORITYNetwork Service»» /SQLSVCStartUpType=»»automatic»»
/AGTSVCAccount=»»NT AUTHORITYNetwork Service»» /AGTSVCStartUpType=»»automatic»» /SQLCollation= «»SQL_Latin1_General_CP1_CI_AI»» /SecurityMode=SQL /SAPWD=»»vinoth»» /SQLUSERDBDIR=»»c:sqldata»»
/SQLUSERDBLOGDIR=»»c:sqlLogs»» SQLBackupDir= «»c:backups»» /SQLTempdbDir=»»c:sqldata»» /SQLTempdbLogDir=»»c:sqldata»» /FileStreamLevel=1 /ErrorReporting=0 /SQMReporting=0Help me fix this problem.
Advance thanks
Answers
-
Hello,
Ok. Let’s try to confirm that the account you are using to install SQL Server has all the privileges required. Please open the Command Prompt with the “Run as Administrator”
option, and run the following command:C:> whoami /priv
You have to see listed the following user rights:
SeBackupPrivilege
SeDebugPrivilege
SeSecurityPrivilege
Hope this helps.Regards,
Alberto Morillo
SQLCoffee.com
- Marked as answer by
Friday, August 9, 2013 12:56 PM
- Unmarked as answer by
Vinoth Kumar MCTS
Friday, August 9, 2013 12:56 PM - Marked as answer by
Ahmed Ibrahim — MSFTMicrosoft employee
Tuesday, August 20, 2013 10:51 PM
- Marked as answer by
Доброго времени суток.
При обновлении SP2 на Sql2005 standart возникла ошибка как я понял вот эта «Error Number : 29506 Error Description : MSP Error: 29506 Программе установки SQL Server не удалось изменить права доступа к файлу C:Program FilesMicrosoft SQL ServerMSSQL.1MSSQLData для пользователя a4345. Чтобы продолжить, убедитесь, что и учетная запись, и домен, где выполняется установка SQL Server, существуют, что учетная запись, с которой выполняются установка SQL Server, имеет разрешения администратора, и что присутствует на целевом диске.» Во-первых, мне непонятно к какому именно файлу и почему (учетка доменного админа, Sp2 установился без проблем на другой SQL сервер того же Windows сервера).
Time: 10/15/2009 06:53:06.262
KB Number: KB921896
Machine: FSNT2
OS Version: Microsoft Windows Server 2003 family, Service Pack 1 (Build 3790)
Package Language: 1049 (RUS)
Package Platform: x86
Package SP Level: 2
Package Version: 3042
Command-line parameters specified:
Cluster Installation: No
**********************************************************************************
Prerequisites Check & Status
SQLSupport: Passed
**********************************************************************************
Products Detected Language Level Patch Level Platform Edition
Файлы поддержки программы установки RUS 9.2.3042 x86
Службы Database Services (MSSQLSERVER) RUS RTM 2005.090.1399.00 x86 STANDARD
Службы Database Services (TESTSQL) RUS SP2 2005.090.3042.00 x86 STANDARD
Собственный клиент SQL Server RUS 9.00.3042.00 x86
Клиентские компоненты RUS SP2 9.2.3042 x86 STANDARD
Средство синтаксического анализа MSXML 6.0 ENU 6.00.3890.0 x86
Средство синтаксического анализа MSXML 6.0 RUS 6.10.1129.0 x86
SQLXML4 RUS 9.00.3042.00 x86
Обратная совместимость RUS 8.05.2004 x86
Microsoft SQL Server, службы синхронизации контроля версий RUS 9.00.3042.00 x86
**********************************************************************************
Products Disqualified & Reason
Product Reason
**********************************************************************************
Processes Locking Files
Process Name Feature Type User Name PID
msftesql Службы Database Services Служба NT AUTHORITYSYSTEM 1632
MSSQLSERVER Службы Database Services Служба 5204
SQLSERVERAGENT Службы Database Services Служба 7908
**********************************************************************************
Product Installation Status
Product : Файлы поддержки программы установки
Product Version (Previous): 3042
Product Version (Final) :
Status : Не выбрано
Log File :
Error Description :
———————————————————————————-
Product : Службы Database Services (MSSQLSERVER)
Product Version (Previous): 1399
Product Version (Final) :
Status : Ошибка
Log File : C:Program FilesMicrosoft SQL Server90Setup BootstrapLOGHotfixSQL9_Hotfix_KB921896_sqlrun_sql.msp.log
Error Number : 29506
Error Description : MSP Error: 29506 Программе установки SQL Server не удалось изменить права доступа к файлу C:Program FilesMicrosoft SQL ServerMSSQL.1MSSQLData для пользователя a4345. Чтобы продолжить, убедитесь, что и учетная запись, и домен, где выполняется установка SQL Server, существуют, что учетная запись, с которой выполняются установка SQL Server, имеет разрешения администратора, и что присутствует на целевом диске.
———————————————————————————-
Product : Службы Database Services (TESTSQL)
Product Version (Previous): 3042
Product Version (Final) :
Status : Не выбрано
Log File :
Error Number : 0
Error Description :
———————————————————————————-
Product : Собственный клиент SQL Server
Product Version (Previous): 3042
Product Version (Final) :
Status : Не выбрано
Log File :
Error Description :
———————————————————————————-
Product : Клиентские компоненты
Product Version (Previous): 3042
Product Version (Final) :
Status : Не выбрано
Log File :
Error Description :
———————————————————————————-
Product : Средство синтаксического анализа MSXML 6.0
Product Version (Previous): 3890
Product Version (Final) : 6.10.1129.0
Status : Завершено
Log File : C:Program FilesMicrosoft SQL Server90Setup BootstrapLOGHotfixRedist9_Hotfix_KB921896_msxml6.msi.log
Error Number : 0
Error Description :
———————————————————————————-
Product : Средство синтаксического анализа MSXML 6.0
Product Version (Previous): 1129
Product Version (Final) : 6.10.1129.0
Status : Завершено
Log File : C:Program FilesMicrosoft SQL Server90Setup BootstrapLOGHotfixRedist9_Hotfix_KB921896_msxml6.msi.log
Error Number : 0
Error Description :
———————————————————————————-
Product : SQLXML4
Product Version (Previous): 3042
Product Version (Final) :
Status : Не выбрано
Log File :
Error Description :
———————————————————————————-
Product : Обратная совместимость
Product Version (Previous): 2004
Product Version (Final) :
Status : Не выбрано
Log File :
Error Description :
———————————————————————————-
Product : Microsoft SQL Server, службы синхронизации контроля версий
Product Version (Previous): 3042
Product Version (Final) :
Status : Не выбрано
Log File :
Error Description :
———————————————————————————-
**********************************************************************************
Summary
One or more products failed to install, see above for details
Exit Code Returned: 29506
В свете недавних событий с повышением вирусной активности многие организации стали уделять больше внимания вопросам всестороннего усиления мер безопасности в собственных ИТ-инфраструктурах. При этом некоторые из применяемых мер могут создать дополнительные сложности в работе самих ИТ-специалистов.
Как известно, в последних вариациях вирусов-шифровальщиков, таких как Petya, используются такие инструменты компрометации учётных данных, как Mimikatz. Одним из методов защиты от Mimikatz является запрет на получение в Windows-системе привилегии SeDebugPrivilege. В инфраструктуре Active Directory настроить такое ограничение можно глобально для всех компьютеров домена с помощью параметра групповой политики «Debug programs» в разделе Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment:
Если в данной политике явно задать доменную группу безопасности, то только члены данной группы смогут получить привилегию SeDebugPrivilege на всех компьютерах домена, на которые будет действовать данная групповая политика. Однако данная политика может осложнить жизнь не только инструментам типа Mimikatz, но и вполне легитимным приложениям, которые в своей работе могут использовать привилегии отладки. Например, после включения данной политики программа установки SQL Server 2012 может завершаться с ошибкой проверки правила «Setup account privileges» …
The account that is running SQL Server Setup does not have one or all of the following rights: the right to back up files and directories, the right to manage auditing and the security log and the right to debug programs. To continue, use an account with both of these rights.
…в том случае, если пользователь, от имени которого выполнятся установка, не был предварительно включён в соответствующую доменную группу безопасности, даже не смотря на то, что данный пользователь входит в группу локальных администраторов сервера.
Если заглянуть в отчёт SystemConfigurationCheck_Report.htm, который создаётся в процессе установки SQL Server в каталоге типа «C:Program FilesMicrosoft SQL Server110Setup BootstrapLog<отметка времени>«…
…, то мы увидим, что срабатывает правило HasSecurityBackupAndDebugPrivilegesCheck, которое и выполняет проверку наличия прав доступа SeSecurityPrivilege, SeBackupPrivilege и SeDebugPrivilege. Как я понял, если хотя бы одна из перечисленных привилегий не будет доступна пользователю, от имени которого запущен процесс установки SQL Server, то ошибка при проверке правила HasSecurityBackupAndDebugPrivilegesCheck неизбежна.
Как же быть в такой ситуации тем пользователям, которые являются локальными администраторами серверов, но не могут при этом установить SQL Server не прибегая к помощи администраторов безопасности уровня домена? Неужели каждый раз придётся терзать доменную группу безопасности, определённую в политике «Debug programs»?
Возникла идея «поковырять» вопрос того как, обладая правами локального администратора на сервере, но не входя при этом в группу безопасности из политики «Debug programs», успешно выполнить установку SQL Server. После некоторых экспериментов в этой области на платформе Windows Server 2012 R2 Standard с установщиком SQL Server Standard 2012 SP2 удалось добиться желаемого результата. В решении задачи помогла старенькая утилита ntrights.exe из пакета Windows Server 2003 Resource Kit Tools. Примеры использования утилиты можно найти в статье How to Set Logon User Rights with the Ntrights.exe Utility
Чтобы получить необходимую нам привилегию SeDebugPrivilege, достаточно выполнить команду типа:
C:WinSrv2003RKToolsntrights.exe +r SeDebugPrivilege -u KOMVasya
Granting SeDebugPrivilege to KOMVasya ... successful
где KOMVasya имя доменного пользователя, от имени которого мы будем выполнять установку SQL Server. После выполнения этой команды, соответствующему пользователю необходимо выполнить logoff/logon и запросить информацию о текущем наборе прав, например с помощью утилиты whoami:
C:Windowssystem32>whoami.exe /priv
PRIVILEGES INFORMATION
----------------------
Privilege Name Description State
=============================== ========================================= ========
...
SeSecurityPrivilege Manage auditing and security log Disabled
...
SeBackupPrivilege Back up files and directories Disabled
...
SeDebugPrivilege Debug programs Disabled
...
Как видим, теперь все три нужные нам привилегии, необходимые для установки SQL Server получены, и мы можем снова попытаться выполнить установку. И на этот раз предварительная проверка и последующая установка должны пройти успешно.
Однако помните про то, что после очередного применения групповой политики право SeDebugPrivilege будет снова изъято (согласно настроек доменных GPO) и уже после следующего logoff/logon данная привилегия у нашего пользователя перестанет работать.
На мой взгляд, такое поведение системы можно расценивать, как уязвимость, которую помимо легитимного локального администратора может эксплуатировать и вредительское ПО с уровнем прав локального администратора. То есть, даже с глобально включённой в домене политикой «Debug programs», по факту остаётся риск получения права SeDebugPrivilege со стороны вредоносного ПО, использующего такие инструменты, как Mimikatz.
Дополнительные источники информации:
- KB2000257 — SQL Server installation fails if the Setup account doesn’t have certain user rights
- Fort SQL — Installing SQL Server 2008 Services in a High-Security Domain (Part I),
(Part II) - Esoteric — SQL 2012 Setup Rules – The ‘Missing Reference’
Системное администрирование
1
Посты
1
Пользователи
0
Likes
4,322
Просмотры
(@dom)
Сообщения: 200
Honorable Member
Я столкнулся с интересной ошибкой при установке MS SQL Server 2014 на новую виртуальную машину под управлением Windows Server 2012 R2. Установка SQL Server была прервана почти в конце с ошибкой « Не удалось найти дескриптор запуска компонента Database Engine ».
В журнале установки SQL произошла следующая ошибка (файл summary.txt):
Особенность: Услуги СУБД
Статус: Ошибка: подробности см. В журналах.
Причина сбоя: во время процесса установки функции произошла ошибка.
Следующий шаг: используйте следующую информацию для устранения ошибки, удалите эту функцию, а затем снова запустите процесс установки.
Имя компонента: функции экземпляра служб СУБД SQL Server
Код ошибки компонента: 0x851A0019
Описание ошибки: не удалось найти дескриптор запуска компонента Database Engine.
Эта ошибка установки MS SQL Server связана со стандартными параметрами установки, когда SQL Server запускается под непривилегированной учетной записью NT Service MSSQL $ V2014 . Эта учетная запись может не иметь права на запуск службы SQL Server, поэтому она не может быть запущена, и установщик возвращает ошибку «Не удалось найти дескриптор запуска компонента Database Engine». Кроме того, эта ошибка может указывать на то, что кто-то уже пытался установить SQL Server на этот компьютер, а файлы или службы, оставшиеся после установки, не были удалены.
Чтобы исправить ошибку установки SQL Server:
- Правильно удалите все программы, связанные с SQL Server, из панели управления и перезапустите сервер (убедитесь, что в папке C: Program Files Microsoft SQL Server MSSQL12.xxx нет файлов или папок).
- Запустите установку из дистрибутива SQL Server с нуля. На вкладке Конфигурация сервера убедитесь, что служба ядра СУБД SQL Server запущена с учетной записью NT Service MSSQLSERVER;
- Измените эту учетную запись на NT AUTHORITY SYSTEM;
- Продолжите установку SQL Server. Ошибка не должна появиться снова.
После завершения установки мы настоятельно рекомендуем изменить учетную запись, под которой запускается компонент SQL Server Database Engine, на непривилегированную учетную запись.
Вам не нужно предоставлять этой учетной записи права локального администратора (достаточно предоставить необходимые привилегии в настройках безопасности SQL Server).
Вы можете использовать учетные записи с привилегиями системного администратора: NT Service MSSQLSERVICE или NT Service SQLSERVERAGENT.
Чтобы изменить учетную запись, под которой работает SQL Server:
- Запустите диспетчер конфигурации SQL Server и перейдите к службам SQL Server;
- Нажмите SQL Server (MSSQLSERVER), затем нажмите кнопку «Обзор» и в поле «Эта учетная запись» укажите учетную запись, под которой должна быть запущена служба, или используйте gMSA (учетная запись группы управляемых служб). Введите пароль пользователя и сохраните изменения;
- Перезапустите службы SQL Server.
Этот метод поможет вам исправить ошибку «Не удалось найти дескриптор запуска компонента Database Engine» во время установки любых версий SQL Server (2016, 2014, 2012 или 2008 r2).
Размещено : 03/03/2020 5:46 дп
- Remove From My Forums
-
Вопрос
-
Hi
I am very new to preparing installation kit. i wanted to install SQL Express 2008 with full text search option via installation kit. i have administrator rights in my system and as well in in administrators group. for past couple days i have
been looking several web sites. i don’t have any luck and i am getting this error message «rule ‘Setup account privileges’ failed.the account that is
running sql server setup does not have one or both of the following rights: the right to backup files and directories, and the right to manage auditing and the security log. to continue, use an account with both of these rights.»FYI i m using my command line options as
/action=install /Features=SQL,FullText /INSTANCENAME=MyInstance /IACCEPTSQLSERVERLICENSETERMS=true /SQLSVCAccount=»»NT AUTHORITYSYSTEM»» /SQLSYSAdminAccounts=»»NT AUTHORITYNetwork Service»» /SQLSVCStartUpType=»»automatic»»
/AGTSVCAccount=»»NT AUTHORITYNetwork Service»» /AGTSVCStartUpType=»»automatic»» /SQLCollation= «»SQL_Latin1_General_CP1_CI_AI»» /SecurityMode=SQL /SAPWD=»»vinoth»» /SQLUSERDBDIR=»»c:sqldata»»
/SQLUSERDBLOGDIR=»»c:sqlLogs»» SQLBackupDir= «»c:backups»» /SQLTempdbDir=»»c:sqldata»» /SQLTempdbLogDir=»»c:sqldata»» /FileStreamLevel=1 /ErrorReporting=0 /SQMReporting=0Help me fix this problem.
Advance thanks
Ответы
-
Hello,
Ok. Let’s try to confirm that the account you are using to install SQL Server has all the privileges required. Please open the Command Prompt with the “Run as Administrator”
option, and run the following command:C:> whoami /priv
You have to see listed the following user rights:
SeBackupPrivilege
SeDebugPrivilege
SeSecurityPrivilege
Hope this helps.Regards,
Alberto Morillo
SQLCoffee.com
-
Помечено в качестве ответа
9 августа 2013 г. 12:56
-
Снята пометка об ответе
Vinoth Kumar MCTS
9 августа 2013 г. 12:56 -
Помечено в качестве ответа
Ahmed Ibrahim — MSFTMicrosoft employee
20 августа 2013 г. 22:51
-
Помечено в качестве ответа
- Remove From My Forums
-
Question
-
hello everybody,
i need to install sql server express 2014 , but i can not enable
1. SeSecurityPrivilege
2. SeBackupPrivilege
3. SeDebugPrivilege1. i go to => Local Policies => User Rights Assignment
instead of using administrators , i already assigned Everyone to the setting.
2. i checked on cmd , c:>whoami/priv
But all above three Privilege still state disabled
is there anyone can help me , for this issues ?
Answers
-
Hi wahsidin,
Firstly, after assigning the above three privileges to your account in “Local Policies”, if all the three privileges (SeSecurityPrivilege, SeBackupPrivilege, SeDebugPrivilege) are listed in command prompt, it indicates that you assign account privileges
successfully. Besides, the state of privileges is really just «is that privilige currently enabled for the process, there is athread for your reference.
Secondly, to solve the error “Setup account privileges failed”, please also make sure the following things besides assigning the above three privileges to the account which you are running SQL Server 2014 Express setup.
1. Ensure that the account which you use to launch SQL Server 2014 Express setup is local administrator on the server.
2. Make sure you run the setup by right-clicking and choose Run-as-Administrator.For more details about troubleshooting “Setup account privileges failed” issue, please review this article.
Regards,
Ice Fan
Ice Fan
TechNet Community Support
-
Proposed as answer by
Friday, December 4, 2015 10:33 AM
-
Marked as answer by
Lydia ZhangMicrosoft contingent staff
Wednesday, December 16, 2015 3:08 AM
-
Proposed as answer by
-
Hello,
If the computer belongs to an active directory domain you may need to talk to your network administrator, because some
group policies may have disabled those user rights.
Adding those user rights on local group policies or trying to install with a local administrator won’t work if domain policies are in effect.Hope this helps.
Regards,
Alberto Morillo
SQLCoffee.com-
Edited by
Alberto MorilloMVP
Tuesday, December 1, 2015 4:06 PM -
Proposed as answer by
Ice Fan
Wednesday, December 16, 2015 1:27 AM -
Marked as answer by
Lydia ZhangMicrosoft contingent staff
Wednesday, December 16, 2015 3:08 AM
-
Edited by