Data Collector Security
Moduł zbierający dane używa implementowane przez model zabezpieczeń opartych na rolach SQL Server Agent. Ten model umożliwia administratorowi bazy danych, uruchomić różnych zadań modułów zbierających dane w kontekście zabezpieczeń, który ma tylko uprawnienia wymagane do wykonania tego zadania.To podejście jest również używana w operacji dotyczących wewnętrznego tabel, które jest możliwy tylko za pomocą procedura przechowywana lub widoku.Żadne uprawnienia są przyznawane wewnętrznego tabel.Zamiast tego sprawdza uprawnienia użytkownika, procedurą przechowywaną lub widok, który jest używany do dostępu do tabela.
Important Note: |
---|
Innym aspektem klucz tego modelu zabezpieczeń są uprawnienia koncentrycznych.W obszarze koncentrycznych uprawnienia bardziej uprzywilejowanym role dziedziczą uprawnienia z mniej uprzywilejowanych ról obiektów (w tym alerty, operatorów, zadania, harmonogramów i serwery proxy).Aby uzyskać więcej informacji zobaczSQL Server Agent Fixed Database Roles. |
W poniższych sekcjach opisano danych kolekcja zabezpieczeń Ogólne, jak również ról, należy udzielić użytkownikom, dzięki czemu mogą skonfigurować i używać modułów zbierających dane i wykonywać zadania związane z magazyn danych zarządzania.
Ogólne zabezpieczenia
Moduł zbierający dane, jest instalowana zgodnie z udokumentowanymi normy określone dla SQL Server 2008. Aby uzyskać więcej informacji zobaczSecure Deployment (Database Engine).
Zabezpieczenia sieci
Poufne informacje mogą być przekazywane między wystąpień miejsce docelowe, relacyjnej wystąpienia skojarzone z konfiguracja serwera, zestawy kolekcja, których jest uruchomiony i serwer, który obsługuje zarządzanie magazyn danych.
W celu ochrony danych przesyłanych za pośrednictwem sieci, mechanizmy zabezpieczeń standardowe są wykonywane, takich jak Protokół szyfrowanie dla Transact-SQL.
Uprawnienia, konfigurowanie i korzystanie z modułów zbierających dane
W zależności od zadania użytkownicy muszą być członkami jednego lub większej liczby ról stałej bazy danych, pod warunkiem, że dla modułów zbierających dane.Aby uprawnieniach najbardziej do najmniej posiadającym odpowiednich uprawnień dostępu role są następujące:
dc_admin
dc_operator
dc_proxy
Role te są przechowywane w bazie danych msdb.Użytkownik nie jest domyślnie element członkowski tych ról bazy danych.Członkostwo użytkownika w tych rolach musi być wyraźnie przyznane.
Użytkownicy, którzy są członkami z sysadmin stała rola serwera mają pełny dostęp do SQL Server Agent obiekty i dane zbierającego widoki. Jednakże muszą być bezwzględnie dodana do ról modułów zbierających dane.
Important Note: |
---|
Członkowie roli db_ssisadmin i roli dc_admin może mieć możliwość podniesienia swoich uprawnień do sysadmin.To podniesienie poziomu uprawnień może występować, ponieważ role te można modyfikować. Integration Services pakiety i Integration Services pakiety mogą być wykonywane przez SQL Server za pomocą kontekstu zabezpieczeń sysadmin SQL Server Agent. Aby zabezpieczyć się przed tym podniesienie poziomu uprawnień podczas uruchamiania planów konserwacji, zestawy zbierania danych i inne Integration Services pakiety, konfigurowanie SQL Server Zadania agenta uruchamianych pakiety z serwerem proxy za pomocą konta z ograniczonymi uprawnieniami lub tylko dodawanie członków sysadmin do ról db_ssisadmin i dc_admin. |
dc_admin roli
Użytkownicy przypisani do dc_admin rola ma dostęp administratora pełny (Tworzenie, Odczyt, Update i DELETE) do konfiguracja modułów zbierających dane w wystąpieniu serwera.Członkowie tej roli mogą wykonywać następujące operacje:
zestaw właściwości poziom modułu zbierającego.
Dodawanie nowych zestawów kolekcja.
Zainstaluj nowe typy kolekcja.
Wykonać wszystkie czynności dozwolone dc_operator roli.
The dc_admin role is a element członkowski of the following roles:
SQLAgentUserRole.Ta rola jest wymagana do tworzenia harmonogramów i uruchamianie zadań.
Uwaga
Serwery proxy dla modułów zbierających dane musi udzielić prawa dostępu dc_admin ich tworzenia i używania ich w wszystkie czynności zadanie, które wymagają serwer proxy.
dc_operator.Członkowie dc_admin dziedziczą uprawnienia nadane dc_operator.
dc_operator roli
Członkowie dc_operator roli aktualizację dostępu i Odczyt.Ta rola obsługuje operacje zadań związanych z systemem i skonfigurowaniu zestawów kolekcja.Członkowie tej roli mogą wykonywać następujące operacje:
Uruchamianie lub zatrzymywanie zestaw kolekcja.
Wyliczanie istniejących zestawów kolekcja.
Służy do wyświetlania szczegółowych informacji (na przykład elementy kolekcja i częstotliwości pobierania), skojarzone z zestaw kolekcja.
Zmiana częstotliwości wysyłania do istniejących zestawów kolekcja.
Zmiana częstotliwości kolekcja do kolekcja elementów, które są częścią istniejącego zestaw kolekcja.
The dc_operator role is a element członkowski of the following role:
- db_ssisltduser.Tak, aby członkowie mogą wyliczyć i wyświetlić pakietów modułów zbierających dane jest wymagane członkostwo w tej roli.Aby uzyskać więcej informacji zobaczUsing Integration Services Roles.
dc_proxy roli
Członkowie dc_proxy rola ma dostęp do odczytu w odniesieniu do zestawów zbioru modułów zbierających dane i właściwości poziom modułu zbierającego.Członkowie tej roli mogą być również wykonać zadania, które są własnością i utworzyć zadanie kroki, które są uruchamiane jako istniejące konto proxy.
Członkowie tej roli mogą wykonywać następujące operacje:
Wyświetlanie kolekcja ustawić informacji o konfiguracja (na przykład parametry wejściowe dla kolekcja elementów) oraz częstotliwość gromadzenia tych elementów.
Należy uzyskać wewnętrzny zaszyfrowane informacje, które mogą być udostępniane tylko przez procedura przechowywana podpisane (na przykład dane magazynu połączenia informacje używane do przekazywania danych).
Rejestrowanie zdarzeń czas wykonywania kolekcja zestaw.
The dc_proxy role is a element członkowski of the following role:
- db_ssisltduser.Tak, aby członkowie mogą wyliczyć i wyświetlić pakietów modułów zbierających dane jest wymagane członkostwo w tej roli.Aby uzyskać więcej informacji zobaczUsing Integration Services Roles.
Uprawnienia, konfigurowanie i korzystanie z magazyn danych zarządzania
W zależności od zadania użytkownicy muszą być członkami jednego lub większej liczby ról stałej bazy danych, pod warunkiem że w celu uzyskania dostępu do magazyn danych zarządzania.Aby uprawnieniach najbardziej do najmniej posiadającym odpowiednich uprawnień dostępu role są następujące:
mdw_admin
mdw_writer
mdw_reader
Role te są przechowywane w bazie danych msdb.Użytkownik nie jest domyślnie element członkowski tych ról bazy danych.Członkostwo użytkownika w tych rolach musi być wyraźnie przyznane.
Użytkownicy, którzy są członkami z sysadmin roli serwera stałe mają pełny dostęp do widoków modułów zbierających dane.Jednakże muszą być bezwzględnie dodana do ról bazy danych, aby wykonać inne operacje.
mdw_admin roli
Członkowie mdw_admin roli Odczyt, zapis, aktualizacji i Usuń dostęp do magazyn danych zarządzania.
Członkowie tej roli mogą wykonywać następujące operacje:
Zmienianie schematu magazyn danych zarządzania, gdy wymagana (na przykład dodanie nowej tabela, po zainstalowaniu nowego typu kolekcja).
Uwaga
W przypadku zmiany schematu, użytkownik musi być również element członkowski z dc_admin roli, aby zainstalować nowy typ modułu zbierającego dane dane, ponieważ ta akcja wymaga uprawnień do zaktualizowania konfiguracja modułów zbierających dane w msdb.
Uruchamianie zadań konserwacji dla magazyn danych zarządzania, takie jak archiwum lub oczyszczania.
mdw_writer roli
Członkowie mdw_writer roli można przekazać i zapisywać dane do magazyn danych zarządzania.Każdy moduł zbierający dane są przechowywane dane w zarządzaniu magazyn danych musi być członkiem tej roli.
mdw_reader roli
Członkowie mdw_reader rola ma dostęp do odczytu w odniesieniu do magazyn danych zarządzania.Ponieważ celem tej roli jest obsługa, rozwiązywanie problemów poprzez zapewnienie dostępu do danych historycznych, Członkowie tej roli nie można wyświetlić innych elementów schematu magazyn danych zarządzania.