Академия Специальных Курсов по Компьютерным Технологиям
    Главная страница Послать письмо
 
AskIt.ru  
   
   
   
   
   
   
 
 
  Главная / Заказные курсы / Microsoft SQL Server 2005 для администраторов
 
 

Получить учебные материалы по этому курсу


<-- Назад Читать дальше -->

2.2.4. Выбор учетной записи для служб SQL Server

SQL Server 2005 - выбор учетных записей для служб, локальная системная учетная запись, доменные учетные записи, необходимые права

Следующий экран мастера посвящен выбору учетной записи для служб SQL Server (рис. 2.5). С его помощью вы можете выбрать учетные записи для самого SQL Server, SQL Server Agent, Analysis Services и Reporting Services.

Рис. 2.5. Выбор учетной записи, от имени которой будут работать службы SQL Server 2005

В этом месте специалисты, которые производят установку SQL Server 2005, часто допускают ошибки.

Первый вопрос, с которым вы должны определиться, — будете ли вы использовать локальную системную учетную запись или доменную учетную запись (как еще один вариант, можно также использовать обычную, не системную, локальную учетную запись вашего компьютера)?

Локальная системная учетная запись — это специальная учетная запись, которая есть на каждом компьютере. От имени этой учетной записи работает сама операционная система и большинство служб Windows. Она заведомо обладает всеми необходимыми правами на локальном компьютере, на который устанавливается SQL Server 2005, и ее можно использовать для служб SQL Server 2005 в самых простых ситуациях. Однако помните, что при этом вы теряете возможность обращения SQL Server к любым внешним ресурсам вашего домена. SQL Server 2005 не сможет взаимодействовать с Exchange Server, обращаться к другому экземпляру SQL Server при выполнении запроса, производить резервное копирование на сетевые диски, будет сильно затруднена настройка репликации. Поэтому на большинстве предприятий правильнее будет использование доменной учетной записи.

Второй вопрос — какой должна быть эта доменная учетная запись? Иногда администраторы SQL Server в этом окне мастера прописывают параметры своей личной учетной записи (например, когда им не хочется обращаться с просьбами к администратору сети). Как правило, такое решение приводит к печальному результату. Типичная ситуация выглядит так: через несколько месяцев администратор SQL Server меняет пароль своей учетной записи и забывает его изменить для служб SQL Server. Внешне все продолжает работать нормально, поскольку SQL Server уже запущен и работает на сервере, который может не перезагружаться очень долго. Однако через какое-то время необходимость в перезагрузке все-таки возникает (например, устанавливается очередной патч), и после перезапуска SQL Server, конечно, не стартует. При этом выдается загадочное сообщение об ошибке, которое можно перевести примерно так: "При запуске службы возникла ошибка, но это не ошибка службы". Если вы не догадаетесь, в чем дело, все может закончиться переустановкой ни в чем не повинного сервера.

Поэтому правильное решение — это доменная учетная запись, специально созданная для служб SQL Server 2005. Для этой учетной записи необходимо снять флажок User must change password at next logon (Пользователь должен сменить пароль при следующем входе) и установить флажок Password never expires (Пароль никогда не устаревает). Пароль для нее должен быть сложным, его лучше записать и хранить в защищенном месте (поскольку уже через несколько месяцев сложный пароль вряд ли удастся вспомнить). Желательно также снабдить эту учетную запись комментарием, чтобы администраторы сети не забыли, что это такое и не отключили ее на всякий случай.

Третий вопрос — какими правами должна обладать эта учетная запись? Согласно рекомендациям Microsoft, учетная запись SQL Server Agent должна обладать административными правами на том компьютере, на котором устанавливается SQL Server, а учетная запись самого SQL Server 2005 должна работать с минимальными правами, которые должны быть предоставлены ей вручную. Практика, однако, показывает, что и учетную запись SQL Server 2005 лучше поместить в локальную группу администраторов на этом компьютере. Объяснения здесь простые:

q      меньше ручной работы по предоставлению разрешений;

q      на компьютере, на котором установлен SQL Server 2005, обычно нет другой ценной информации, кроме баз данных самого SQL Server. А на свои базы данных учетная запись, от имени которой работает SQL Server, будет обладать полными правами в любом случае;

q      и самое главное — при использовании неадминистративной учетной записи вы все равно рано или поздно столкнетесь с ошибками, вызванными нехваткой прав (на ресурсы в файловой системе, на разделы реестра и т. п.). Удастся ли при этом быстро определить их причину — неизвестно.

Поэтому можно рекомендовать поместить в локальную группу Administrators (Администраторы) все учетные записи, используемые для работы служб SQL Server 2005 (обычно используется одна запись для всех). Если же это запрещено политикой безопасности вашего предприятия, то при выдаче разрешений руководствуйтесь статьей Books Online "Setting Up Windows Service Accounts" (Настройка учетных записей служб Windows). Найти эту статью можно по поиску в справке SQL Server — в Books Online.

Обратите внимание также на то, что учетной записи, от имени которой работают службы SQL Server 2005, программа установки автоматически предоставляет следующие системные права на локальном компьютере:

q      Log on as a service (Входить в систему как служба);

q      Act as part of the operating system (Работать как часть операционной системы);

q      Log on as a batch job (Входить в рамках выполнения пакета команд);

q      Replace a process-level token (Заменять маркер безопасности процесса);

q      Bypass traverse checking (Проходить сквозь каталоги, на которые этой учетной записи не предоставлены разрешения);

q      Adjust memory quotas for a process (Настраивать квоты на использование памяти для процесса).

Если вы меняете первоначальную учетную запись на другую (например, старая была случайно удалена), не забудьте предоставить эти разрешения вручную.

И последний вопрос, связанный с выбором учетной записи, — SQL Server предоставляет вам возможность использовать для всех служб SQL Server 2005 одну учетную запись или определить для каждой службы отдельную. Что же выбрать?

Очень редко встречаются ситуации, когда применение разных учетных записей для служб SQL Server давало бы какие-то преимущества. Поэтому можно рекомендовать использовать самый простой вариант — определить одну доменную учетную запись с административными правами на данном компьютере для всех служб SQL Server 2005. Усложнять себе жизнь и возиться с разными учетными записями имеет смысл только тогда, когда это требование разработчиков приложения или службы безопасности вашего предприятия.

Обратите также внимание на то, что для домена в окне мастера, показанном на рис. 2.5, необходимо указать имя NetBIOS (т. е. самую левую часть полного доменного имени). Например, если ваш домен называется NWTRADERS.MSFT, то в поле Domain (Домен) нужно ввести NWTRADERS.

В этом окне есть еще одна группа флажков — Start services at the end of setup (Запускать службы по окончании установки). Эти флажки определяют, будут ли службы SQL Server 2005 автоматически запускаться при загрузке компьютера. Выбирайте, как вам удобнее.

 

   
   
   
   
   
   
   
   
   
   
 
<-- Назад Читать дальше -->

Получить учебные материалы по этому курсу


 
© 2004-2016, Академия Специальных Курсов
по Информационным Технологиям
.
Все права защищены.

Разработка NevaStudio
г. Санкт-Петербург, Васильевский остров,
20-я линия, д. 7
Офис 101, 2-й этаж
Телефон: 8(812)922-47-60
E-mail: info@askit.ru