Model zabezpieczeń Agent replikacji
Model zabezpieczeń agent replikacja pozwala na bardzo dokładną kontrolę konta, w jakich agenci replikacja uruchamiać i nawiązywać połączenia: Dla każdego agenta można określić inne konto.Aby uzyskać więcej informacji na temat określania kont, zobacz Zarządzanie logowania i hasła w replikacji.
Ważne: |
---|
Gdy element członkowski sysadmin stała rola serwera Konfiguruje replikację, agenci mogą być konfigurowane do personifikacji replikacja SQL Server konto agenta.Jest to realizowane przez nie określając identyfikator logowania i hasło dla agenta replikacja; jednak nie zaleca tego podejścia.Zamiast tego, ze względów bezpieczeństwa zaleca się określić konto dla każdego agenta, który ma minimalne uprawnienia, które są opisane w sekcji "Uprawnienia, są wymagane przez czynniki" w dalszej części tego tematu. |
Agenci replikacji, podobnie jak wszystkie pliki wykonywalne uruchamiane w kontekście konta systemu Windows.Czynniki nawiązywać połączenia zintegrowane zabezpieczenia systemu Windows przy użyciu tego konta.Konto używane do uruchamiania agenta zależy od sposobu uruchamiania agenta:
Uruchamianie agenta z SQL Server zadanie agenta, domyślnie: Gdy SQL Server zadanie agenta jest używany do uruchamiania agenta replikacja, agent jest uruchamiany w kontekście konta podczas konfigurowania replikacja.Więcej informacji o SQL Server i Agent replikacja, zobacz sekcję "Agent zabezpieczeń pod SQL Server Agent" w dalszej części tego tematu.Aby uzyskać informacje dotyczące uprawnień, które są wymagane dla konta, pod którym SQL Server Agent jest uruchamiany, zobacz Konfigurowanie SQL Server Agent.
Uruchamianie agenta z wiersza polecenia systemu MS-DOS, bezpośrednio lub poprzez skrypt: Agent jest uruchamiany w kontekście konta użytkownika, który jest uruchomiony agent w wierszu polecenia.
Agent począwszy od aplikacji korzystającej z replikacją obiektów zarządzania (RMO) lub formant ActiveX: Agent jest uruchomiony w kontekście aplikacji, która wywołuje RMO lub formantu ActiveX.
Ostrzeżenie
Formanty ActiveX są niezalecane.
Zaleca się, aby ustanawiać połączenia w kontekście zintegrowanych zabezpieczeń systemu Windows.W celu zapewnienia zgodności z poprzednimi wersjami SQL Server zabezpieczeń można także.Aby uzyskać więcej informacji o najważniejszych wskazówkach, zobacz Najważniejsze wskazówki dotyczące zabezpieczeń replikacji.
Ostrzeżenie
Replikacja skrypty utworzone z SQL Server 2000 powinny być uaktualnione do SQL Server 2008 Aby wykorzystać ulepszenia zabezpieczeń.Aby uzyskać więcej informacji, zobacz Jak Uaktualnienie replikacji skryptów (Programowanie replikacji Transact-SQL).
Uprawnienia, które są wymagane przez agentów
Konta, w jakich agentów uruchamiać i nawiązywać połączenia wymagają różnych uprawnień.Uprawnienia te są opisane w poniższej tabela.Zaleca się, że każdy agent uruchamiane z innego konta systemu Windows i konto powinno zostać przyznane tylko wymagane uprawnienia.Aby uzyskać informacje o lista dostępu do publikacja (PAL), który jest istotne, aby liczba agentów, zobacz ZabezpieczanieWydawca.
Ostrzeżenie
Kontrola konta użytkownika (UAC) w Windows Vista może uniemożliwić dostęp administracyjny do udziału migawka.Dlatego musi jawnie udzielić uprawnień udziału migawka kont systemu Windows, które są używane przez agenta migawka, Agent dystrybucji i scalanie agenta.Trzeba to zrobić, nawet jeśli konta systemu Windows są członkami grupy Administratorzy.Aby uzyskać więcej informacji, zobacz Zabezpieczanie folderu Snapshot.
Agent |
Uprawnienia |
---|---|
Agent migawki |
Konto Windows, w ramach którego działa agent jest używany podczas wykonywania połączenia do dystrybutora.Konto to musi:
Konto używane do łączenia się z Wydawca co najmniej musi być członkiem db_owner ustaloną rola bazy danych w bazie danych publikacja. |
Agent odczytywania dziennika |
Konto Windows, w ramach którego działa agent jest używany podczas wykonywania połączenia do dystrybutora.To konto musi co najmniej być element członkowski z db_owner ustaloną rola bazy danych w bazie danych dystrybucji. Konto używane do łączenia się z Wydawca co najmniej musi być członkiem db_owner ustaloną rola bazy danych w bazie danych publikacja. |
Agent dystrybucji wypychaniasubskrypcja |
Konto Windows, w ramach którego działa agent jest używany podczas wykonywania połączenia do dystrybutora.Konto to musi:
Co najmniej konto, na którym jest używany do łączenia z abonent musi być członkiem db_owner ustaloną rolę bazy danych w baza danych subskrypcji, lub równoważne uprawnień, jeśli subskrypcja jest dla nie - SQL Server subskrybenta. |
Agent dystrybucji dla replikacji ściąganej.subskrypcja |
Konto systemu Windows, w ramach którego działa agent jest używany podczas wykonywania połączenia do subskrybenta.Minimum to konto musi być członkiem db_owner ustaloną rola bazy danych w baza danych subskrypcja. Konto używane do łączenia się do dystrybutora musi:
|
Scalanie Agent dla wypychaniasubskrypcja |
Konta systemu Windows, w ramach którego działa agent jest używany podczas wykonywania połączenia Wydawca i dystrybutora.Konto to musi:
Co najmniej konto używane do łączenia z abonent musi być członkiem db_owner ustaloną rola bazy danych w baza danych subskrypcja. |
Scalanie Agent dla replikacji ściąganej.subskrypcja |
Konto systemu Windows, w ramach którego działa agent jest używany podczas wykonywania połączenia do subskrybenta.Minimum to konto musi być członkiem db_owner ustaloną rola bazy danych w baza danych subskrypcja. Konto, na którym jest używany do łączenia się z Wydawca i dystrybutor musi:
|
Agent czytnik kolejki |
Konto Windows, w ramach którego działa agent jest używany podczas wykonywania połączenia do dystrybutora.To konto musi co najmniej być element członkowski z db_owner ustaloną rola bazy danych w bazie danych dystrybucji. Konto używane do łączenia się z Wydawca co najmniej musi być członkiem db_owner ustaloną rola bazy danych w bazie danych publikacja. Co najmniej konto, na którym jest używany do łączenia z abonent musi być członkiem db_owner ustaloną rola bazy danych w baza danych subskrypcja. |
Agent zabezpieczeń w programie SQL Server Agent
Podczas konfigurowania replikacja przy użyciu SQL Server Management Studio, Transact-SQL procedury lub RMO, SQL Server zadanie agenta jest tworzona domyślnie dla każdego agenta.Agenci Uruchom w kontekście krok zadanie, niezależnie od tego, czy działają w sposób ciągły, według harmonogramu lub na żądanie.Można przeglądać te zadania w ramach zadania folderu w SQL Server Management Studio.W poniższej tabela przedstawiono nazwy zadanie.
Agent |
Nazwa zadania |
---|---|
Agent migawki |
<Wydawca>—<PublicationDatabase>—<publikacji>—<całkowitą> |
Agent migawki dla partycji publikacja seryjnej |
Dyn_<Wydawca>-<PublicationDatabase>-<Publication>-<GUID> |
Agent odczytywania dziennika |
<Wydawca>—<PublicationDatabase>—<Liczba całkowita> |
Scalanie do agenta ściągać subskrypcji |
<Wydawca>–<PublicationDatabase>–<publikacji>—<subskrybenta>–<SubscriptionDatabase>—<całkowitą> |
Scalanie do agenta wypychanie subskrypcji |
<Wydawca>–<PublicationDatabase>–<publikacji>—<subskrybenta>—<całkowitą> |
Agent dystrybucji dla wypychanie subskrypcji |
<Wydawca>—<PublicationDatabase>–<publikacji>—<subskrybenta>–<całkowitą>1 |
Agent dystrybucji dla ściągać subskrypcji |
<Wydawca>–<PublicationDatabase>–<publikacji>–<subskrybenta>—<SubscriptionDatabase>—<GUID>2 |
Agent dystrybucji dla wypychanie do innej niż SQL Server abonentami subskrypcji |
<Wydawca>–<PublicationDatabase>–<publikacji>—<subskrybenta>—<całkowitą> |
Agent czytnik kolejki |
<Distributor>].<Liczba całkowita> |
1 Dla wypychanie subskrypcji do publikacji, Oracle, nazwa zadanie jest <wydawcy>—<wydawcy> zamiast <wydawcy>–<PublicationDatabase>.
2 Dla ściągać subskrypcji do publikacji, Oracle, nazwa zadanie jest <wydawcy>—<DistributionDatabase> zamiast <wydawcy>—<PublicationDatabase>.
Podczas konfigurowania replikacja należy określić konta, na których należy uruchomić agentów.Jednak wszystkie zadanie uruchamiane w kontekście zabezpieczeń kroki serwera proxy; Dlatego replikacja wykonuje następujące mapowania wewnętrznie dla kont agent, które można określić:
The account is first mapped to a credential by using the Transact-SQL CREATE CREDENTIAL statement.SQL Server Agent proxy używa poświadczenia do przechowywania informacji na temat kont użytkowników systemu Windows.
Sp_add_proxy procedura składowana jest wywoływana i poświadczeń jest używany do tworzenia proxy.Aby uzyskać więcej informacji na temat serwerów proxy, zobacz Tworzenie SQL Server agenta proxy.
Ostrzeżenie
Tę informację do zrozumieć, co to jest zaangażowany w uruchomiony w kontekście zabezpieczeń odpowiednich czynników.Nie powinno się pracować bezpośrednio na poświadczenia lub serwery proxy, które zostały utworzone.
Zobacz także