Udostępnij za pośrednictwem


Administering Servers by Using Policy-Based Management

zarządzanie oparte na regułach jest systemem zarządzania jednego lub więcej wystąpień SQL Server 2008. Kiedy SQL Server Administratorzy zasad za pomocą zarządzanie oparte na regułach, korzystają z SQL Server Management Studio Aby utworzyć zasady zarządzania obiektów na serwerze, na przykład wystąpienie SQL Server, baz danych lub innych SQL Server obiekty.

zarządzanie oparte na regułach zawiera trzy składniki:

  • Zasada zarządzania

    Administratorzy zasad tworzenia zasad.

  • Jawne administracji

    Administratorzy, zaznacz jeden lub więcej obiektów docelowych zarządzanych i jawnie Sprawdź, czy elementy docelowe wykonania określonych zasad lub jawnie wprowadzić elementy docelowe są zgodne z zasadami.

  • Tryby oceny

    Dostępne są cztery tryby oceny, z których trzy można zautomatyzować:

    • Na żądanie.W tym trybie zasady są oceniane, gdy zostanie to określone bezpośrednio przez użytkownika.

    • Podczas zmiany: zapobieganie .This procedure lists the number of jobs attached to the specified schedule.

      Important noteImportant Note:

      Po wyłączeniu opcji konfiguracja serwera zagnieżdżonych wyzwalaczy Podczas zmiany: zapobieganie nie będzie działać poprawnie.zarządzanie oparte na regułach zależy od kodu DDL wyzwalaczy do wykrywać i przywracać operacji DDL, które nie są zgodne z zasady, które używają tego trybu oceny.Usuwanie wyzwalaczy zarządzanie oparte na regułach DDL lub wyłączania wyzwalaczy gniazdo, spowoduje, że ten tryb oceny się nie powieść lub wykonanie nieoczekiwanie.

    • Podczas zmiany: Rejestrowanie tylko .W tym trybie zautomatyzowane używa powiadomienie o zdarzeniu do oceny zasadę, gdy są wprowadzane istotne zmiany.

    • Według harmonogramu.W tym zautomatyzowanym trybie jest używane zadanie programu SQL Server w celu okresowego oceniania zasad.

    Podczas automatycznego zasady nie są włączone, zarządzanie oparte na regułach nie wpływa na wydajność systemu.

zarządzanie oparte na regułach Terminy i pojęcia

  • zarządzanie oparte na regułach zarządzanych miejsce docelowe
    Obiekty, które są zarządzane przez zarządzanie oparte na regułach, takiego jak wystąpienie SQL Server Database Engine, bazy danych, tabela lub indeks. Wszystkie tarcze w wystąpieniu serwera tworzą hierarchię miejsce docelowe.Zestaw miejsce docelowe jest zestawu obiektów miejsce docelowe, że wyniki z zastosowaniem zbiór miejsce docelowe filtrów do hierarchii docelowego, na przykład wszystkich tabel w bazie danych należących do schematu HumanResources.

  • zarządzanie oparte na regułach zestaw reguł
    Zestaw właściwości logicznych, które modelu zachowania lub cechy charakterystyczne dla niektórych typów zarządzane cele.Numer i właściwości właściwości są wbudowane w zestaw reguł i mogą być dodane lub usunięte przez producenta zestaw reguł.Typ miejsce docelowe może implementować jeden lub więcej aspekty zarządzania i zestaw reguł zarządzania może być implementowana przez jeden lub więcej typów miejsce docelowe.Niektóre właściwości zestaw reguł można stosować tylko do określonej wersja.Na przykład właściwość Poczta bazy danych zestaw reguł obszar powierzchni konfiguracja dotyczy tylko SQL Server 2005 i jego nowszych wersjach.

  • zarządzanie oparte na regułach warunku
    wyrażenie warunkowe, który określa zbiór dozwolonych stanów zarządzanie oparte na regułach zarządzanych cel w odniesieniu do zestaw reguł zarządzania.

  • zarządzanie oparte na regułach zasad
    A zarządzanie oparte na regułach warunek i oczekiwane zachowanie, na przykład, tryb oceny docelowe filtry i planowania.Zasady mogą zawierać tylko jeden warunek.Zasady może być włączona lub wyłączona.

  • Zasady oparte na kategorii zasad zarządzania
    Kategoria zdefiniowanej przez użytkownika w celu zarządzania zasadami.Użytkownicy mogą klasyfikowania zasady na kategorie różnych zasad.Zasady należy do kategorii zasad tylko jeden.Kategorie zasady są stosowane do baz danych i serwerów.poziom bazy danych mają zastosowanie następujące warunki:

    • Właściciele bazy danych można subskrybować bazę danych do zestaw kategorii, zasady.

    • Tylko zasady z jego subskrybowanych kategorii można regulować bazy danych.

    • Wszystkie bazy danych subskrybować niejawnie kategorii zasad domyślnych.

    poziom serwera kategorii zasad mogą być stosowane do wszystkich baz danych.

  • obowiązujące zasady
    Zasady efektywne miejsce docelowe są tych zasad, które określają sposób ten obiekt miejsce docelowe.Zasada obowiązuje w odniesieniu do miejsce docelowe tylko wtedy, gdy są spełnione następujące warunki:

    • Zasada jest włączona.

    • Obiekt miejsce docelowe należy do zestaw docelowego zasady.

    • Obiekt miejsce docelowe lub jeden z obiektów nadrzędnych elementów miejsce docelowe zgadza się do grupy zasady, która zawiera tę zasadę.

Przykłady problemów rozwiązany przy użyciu zarządzanie oparte na regułach

zarządzanie oparte na regułach byłyby pomocne w rozwiązywaniu problemów, przedstawione w następujących scenariuszach:

  • Zasady firmy nie pozwalają na włączenie Poczta bazy danych lub poczta SQL.Sprawdź stan serwera te dwie funkcje tworzona jest zasada.Administrator porównuje stanu serwera do zasady.Jeśli stan serwera jest poza zasięgiem zgodności, administrator wybiera tryb konfiguracji, a zasady sprowadza stanu serwera do zgodności.

  • The AdventureWorks database has a konwencja nazewnictwa that requires all stored procedures to start with the letters AW_. Zasada jest tworzony do wymuszania tej zasady.Administrator sprawdza tę zasadę i odbiera listę procedur przechowywanych, które znajdują się poza zgodności.Jeśli przyszłych procedury przechowywane nie są zgodne z tej konwencja nazewnictwa, instrukcje tworzenia procedur przechowywanych nie powiedzie się.

Dopuszczone tryby oceny

Tryby oceny zasady są określone przez charakterystyki zarządzanie oparte na regułach zestaw reguł, który jest używany przez zasady.Obsługuje wszystkie aspekty Na żądanie and Zgodnie z harmonogramem.Obsługa aspekty Podczas zmiany: Jeśli zmiana stanu zestaw reguł mogą być przechwytywane przez niektóre zdarzenia, rejestrowanie tylko .Obsługa aspekty Podczas zmiany: uniemożliwia , jeśli jest transakcyjna obsługa instrukcje DDL, które zmieniają się w stanie zestaw reguł.Zasady, które są automatycznie przy użyciu jednego z tych trybów wykonanie trzech może być włączone i wyłączone.

W SQL Server Management Studio, Zasady oceny , okno dialogowe zawiera dwie opcje, których można użyć do uruchomienia zasadę:

  • Ocena
    To oceni zasad dla wybranych celów.

  • Zastosowanie
    Umożliwia to zastosowanie zmian do stosowanych obiektów docelowych, które naruszają zasady.Niektóre elementy docelowe nie są reconfigurable za pośrednictwem zarządzanie oparte na regułach.Na przykład, jeśli użytkownik ocenia czy plików kopia zapasowa i danych istnieją w oddzielnych urządzeniach, zarządzanie oparte na regułach przypadków naruszenia tego warunku, można wykrywać; jednak nie można zastosować zmian za pomocą zarządzanie oparte na regułach do wymuszania zasad zgodności.

Zasada zarządzania

Zasady są tworzone i zarządzane za pomocą Management Studio. Proces obejmuje następujące kroki:

  1. Wybierz zestaw reguł zarządzania opartego na zasadach, który zawiera właściwości, które mają być skonfigurowane.

  2. Zdefiniuj warunek, który określa stan zestaw reguł zarządzania.

  3. Zdefiniować zasadę, która zawiera warunek, dodatkowe warunki, które filtrują zestawy docelowe i tryb oceny.

  4. Sprawdź, czy wystąpienie SQL Server jest zgodny z zasad.

W przypadku zasad nie powiodło się Eksplorator obiektów wskazuje zdrowia krytyczne ostrzeżenie jako czerwona ikona obok miejsce docelowe i węzłów, które są wyżej w drzewie Eksplorator obiektów.

Magazyn zasad

Zasady są przechowywane w bazie danych msdb.Po zmianie zasad lub warunek msdb należy wykonywać kopię zapasową.Aby uzyskać więcej informacji zobaczConsiderations for Backing Up the model and msdb Databases.

SQL Server 2008 obejmuje zasady, które mogą być używane do monitorowania wystąpienie SQL Server. Domyślnie, zasady te nie są zainstalowane na Database Engine; Jednak te mogą być importowane z lokalizacji C:\Program Files\Microsoft SQL Server\100\Tools\Policies\DatabaseEngine\1033 instalacji domyślnej. Aby uzyskać więcej informacji zobaczHow to: Export and Import a Policy-Based Management Policy.

Bezpośrednio można utworzyć zasady za pomocą Plik i nowy menu, a następnie zapisać je w pliku.Dzięki temu można tworzyć zasady, jeśli nie masz połączenia z wystąpienie Database Engine.

Historia zasad dla zasad w bieżącym wystąpieniu programu Database Engine są przechowywane w tabelach systemowych msdb. Historia zasad dla zasad stosowane do innych wystąpień Database Engine lub stosowane Reporting Services lub Analysis Services nie jest zachowywane. Aby uzyskać więcej informacji zobaczTroubleshooting Policy-Based Management Policies.

Konfigurowanie alertów do powiadamiania o zasadach Administratorzy z zasad błędy

Gdy zarządzanie oparte na regułach zasady są wykonywane w jednym z trzech trybów zautomatyzowane oceny, jeżeli nastąpi naruszenie zasad, wiadomości są zapisywane w dzienniku zdarzeń.Aby otrzymywać powiadomienie, gdy ten komunikat jest zapisywany zdarzenie dziennika, można utworzyć alert do wykrywać wiadomości i wykonywania akcja.Alert powinien wykryć wiadomości, jak pokazano w poniższej tabela.

Tryb wykonywania

numer komunikatu

Podczas zmiany: Number of jobs for the specified schedule.

(Jeśli automatyczna)

34050

Podczas zmiany: Number of jobs for the specified schedule.

(jeśli jest włączone na żądanie)

34051

Zgodnie z harmonogramem

34052

Przy zmianie

34053

Aby zestaw alert odpowiadać na komunikaty o błędach zarządzanie oparte na regułach, zobacz następujące tematy:

Dodatkowe zagadnienia dotyczące alerty — informacje

Należy zwrócić uwagę na następujące dodatkowe zagadnienia dotyczące alertów:

  • Alerty są wywoływane tylko dla zasad, które są włączone.Ponieważ Na żądanie zasady nie może być włączone, alerty nie są wywoływane dla zasad, które są wykonywane na żądanie.

  • Jeśli akcja, który chcesz przejąć na wysyłanie wiadomości e-mail, należy skonfigurować konto pocztowe.Zaleca się, że korzystasz z poczty bazy danych.Aby uzyskać więcej informacji dotyczących konfigurowania poczty bazy danych zobacz How to: Create Database Mail Accounts (Transact-SQL).

  • Alert zabezpieczeń:

    Zasady są przetwarzane na żądanie, są wykonać w kontekście zabezpieczeń użytkownika.Aby zapisać dziennik błędów, użytkownika trzeba mieć uprawnienia ALTER TRACE lub należeć sysadmin, stałe roli serwera.Nie będzie zapisywać zasady, które są sprawdzane przez użytkownika, który ma mniejsze przywileje zdarzenie logowania i nie będzie wyzwalana alert.

    Tryby automatyczne wykonać wykonać jako element członkowski członkowski roli sysadmin.Dzięki temu tę zasadę do zapisu dziennik błędów i podwyższyć alert.

Zabezpieczenia

Administrowanie zarządzanie oparte na regułach wymaga członkostwo w roli PolicyAdministratorRole bazy danych msdb.Ta rola ma pełną kontrolę nad systemem, wszystkie zasady w systemie.Kontrola ta obejmuje tworzenie i edytowanie zasad i warunków i włączania i wyłączania zasad.

Security noteSecurity Note:

Możliwe podniesienie poświadczenia: Użytkownicy w roli PolicyAdministratorRole mogą tworzyć wyzwalacze serwera i wykonań zasady harmonogramu, który może mieć wpływ na działanie programu Database Engine. Na przykład PolicyAdministratorRole można utworzyć zasadę która może uniemożliwić tworzonej w większości obiektów Database Engine. Ze względu na to możliwe podniesienie poświadczenia tylko do tych użytkowników, które są zaufane z kontrolowanie konfiguracja należy przyznać roli PolicyAdministratorRole Database Engine.

Zastosowanie następujące zasady zabezpieczeń:

  • Administrator systemu lub właściciel bazy danych można subskrybować bazę danych na zasadę lub zasady grupy.

  • Członkowie roli PolicyAdministratorRole można włączać i wyłączać zasady.

  • Członkowie PolicyAdministratorRole mogą tworzyć zasady, że nie mają uprawnienia do wykonać ad hoc, ale które mogą być pomyślnie, gdy zasady są uruchamiane przez innych użytkowników, którzy mają wystarczające uprawnienia.

    Security noteSecurity Note:

    Możliwe podniesienie poświadczenia: Użytkownicy w roli PolicyAdministratorRole mogą tworzyć zasady, która zawiera warunek, który używa ExecuteSql lub ExecuteWql funkcje. Jeśli zasady, wykonuje użytkownik posiadający uprawnienia sysadmin później Transact-SQL który jest dostarczany przez administratora zasad będzie wykonywany z uprawnieniem sysadmin użytkownika, do którego jest on wykonywany.

  • Wykonanie zasad ad hoc występuje w kontekście zabezpieczeń użytkownika.

  • Zasady, które mają Zgodnie z harmonogramem trybie użycia ocenySQL Server Zadania agenta, będące własnością logowania sa.

Uwagi dotyczące za pomocą zarządzania opartego na zasadach

Należy pamiętać, że zasady może wpływać na sposób niektóre SQL Server funkcje pracy. Na przykład zmienić przechwytywania danych i transakcyjnych replikacja za pomocą tabela systranschemas, która nie ma indeksu.Jeśli zostanie włączona zasada, że wszystkie tabele muszą mieć indeks, wymuszanie zgodności zasad spowoduje, że te funkcje nie powiedzie się.