Udostępnij za pośrednictwem

  • Artykuł

Replication Agent Security Model

Model replikacja agenta zabezpieczeń pozwala kontrolować szczegółowymi, kont, zgodnie z którą agentów replikacja uruchamiać i nawiązywać połączenia: Dla każdego agenta można określić inne konto. Aby uzyskać więcej informacji na temat określania kont, zobacz temat Zarządzanie logowania i hasła w replikacja.

Important noteImportant Note:

Kiedy element członkowski członkowski sysadmin stała rola serwera Konfiguruje replikację, agenci replikacja można skonfigurować w taki sposób, aby personifikować SQL Server Konto agenta. Można to zrobić, określając nie logowania i hasło dla agenta replikacja, jednakże, firma Microsoft nie zaleca tej metody.Zamiast tego, zgodnie z zaleceniami dotyczącymi zabezpieczeń zaleca się, aby określić konto dla każdego agenta, który ma minimalne uprawnienia, które są opisane w sekcji "Uprawnienia które są wymagane przez agentów" w dalszej części tego tematu.

Agenci replikacja, podobnie jak wszystkie pliki wykonywalne uruchamiane w kontekście konta systemu Windows.Czynniki nawiązywać połączenia zintegrowane zabezpieczenia systemu Windows przy użyciu tego konta.Konto używane do uruchamiania agenta zależy od sposobu uruchamiania agenta:

  • Uruchamianie agenta z SQL Server zadanie agenta, wartość domyślna: Gdy SQL Server zadanie agenta jest używany do uruchamiania agenta replikacja, agent jest uruchomiony w kontekście konta, można określić podczas konfigurowania replikacja. Aby uzyskać więcej informacji na temat SQL ServerAgent i replikacja, zobacz sekcję "Agenta zabezpieczeń w obszarze agenta programu SQL Server" w dalszej części tego tematu. Aby uzyskać informacje dotyczące uprawnień, które są wymagane dla konta, pod którym SQL Server Uruchamia Agent, zobacz Configuring SQL Server Agent.

  • Uruchamianie agenta z wiersza polecenia systemu MS-DOS, bezpośrednio lub za pośrednictwem skryptu: Agent jest uruchomiony w kontekście konta użytkownika, na którym jest uruchomiony agent w wierszu polecenia.

  • Uruchamianie agenta z aplikacji używającej RMO (replikacja Management Objects) lub formantu ActiveX: Agent jest uruchomiony w kontekście aplikacji, która wywołuje RMO lub formantu ActiveX.

    Uwaga

    Formanty ActiveX są zaniechana.

Zaleca się, że w kontekście zintegrowane zabezpieczenia systemu Windows można ustanawiać połączenia.W celu zapewnienia zgodności z poprzednimi wersjami SQL Server Można również użyć zabezpieczeń. Aby uzyskać więcej informacji o najważniejszych wskazówkach zobacz Najważniejsze wskazówki dotyczące zabezpieczeń replikacja.

Uwaga

Replikacja skryptów utworzone na podstawie SQL Server 2000 powinny być uaktualnione do SQL Server 2008 Aby skorzystać z ulepszeń zabezpieczeń. Aby uzyskać więcej informacji zobacz How to: Upgrade Replication Scripts (Replication Transact-SQL Programming).

Uprawnienia, które są wymagane przez agentów

Konta pod którą agentów uruchamiać i nawiązywać połączenia wymagają różnych uprawnień.Uprawnienia te zostały opisane w poniższej tabela.Zaleca się, że każdy agent uruchamiane z innego konta systemu Windows i konto powinno zostać przyznane wymaganych uprawnień.Aby uzyskać informacje dotyczące listy dostępu publikacja (PAL), do którego odnosi się do szeregu czynników, zobacz Securing the Publisher.

Uwaga

Kontrola konta użytkownika (UAC) w Windows Vista można zapobiec dostępu administracyjnego do udziału migawka. W związku z tym należy jawnie udzielić uprawnień udziału migawki do kont systemu Windows, które są używane przez agenta migawka, Agent dystrybucji i scalanie agenta.Należy wykonać tę czynność, nawet jeśli kont systemu Windows są członkami grupy Administratorzy.Aby uzyskać więcej informacji zobacz Securing the Snapshot Folder.

Agent

Uprawnienia

Agent migawka

Konto systemu Windows, w ramach którego działa agent jest używany podczas ułatwia połączeń do dystrybutor.To konto musi:

  • Co najmniej, należy być członkiem db_owner stała rola bazy danych baza danych dystrybucji.

  • Należy mieć uprawnienia zapisu w udziale migawka.

Co najmniej konta które jest używane do łączenia się z wydawcą musi być członkiem db_owner stała rola bazy danych w bazie danych publikacja.

Agent odczytywania dziennika

Konto systemu Windows, w ramach którego działa agent jest używany podczas ułatwia połączeń do dystrybutor.Co najmniej to konto musi być członkiem db_owner stała rola bazy danych baza danych dystrybucji.

Co najmniej konta które jest używane do łączenia się z wydawcą musi być członkiem db_owner stała rola bazy danych w bazie danych publikacja.

Agent dystrybucji dla wypychanie subskrypcja

Konto systemu Windows, w ramach którego działa agent jest używany podczas ułatwia połączeń do dystrybutor.To konto musi:

  • Minimalny co być członkiem db_owner ustalone rola bazy danych baza danych dystrybucji.

  • Być element członkowski z PAL.

  • Mieć uprawnienia do odczytu z udziału migawka.

  • Mieć uprawnienia do odczytu z katalogu instalacyjnego dostawca OLE DB dla subskrybent w przypadku subskrypcja dla nie-programu SQL Server subskrybent.

Konto używane do łączenia się z subskrybent co najmniej należy element członkowski z db_owner ustaloną rola bazy danych w baza danych subskrypcji lub równoważne uprawnienia, jeśli subskrypcja jest dla innych niż-programu SQL Server subskrybent.

Agent dystrybucji dla subskrypcja ściąganej

Konto systemu Windows, w ramach którego działa agent jest używany podczas ułatwia połączeń do subskrybent.Co najmniej to konto musi być członkiem db_owner stała rola bazy danych w bazie danych subskrypcja.

Konto używane do łączenia się z dystrybutor musi:

  • Być element członkowski z PAL.

  • Mieć uprawnienia do odczytu z udziału migawka.

Scalanie Agent subskrypcja wypychana

Konto systemu Windows, w ramach którego działa agent jest używany podczas umożliwia połączenia z programem Wydawca a dystrybutor.To konto musi:

  • Minimalny co być członkiem db_owner ustalone rola bazy danych baza danych dystrybucji.

  • Być element członkowski z PAL.

  • Być logowania, który jest skojarzony z kontem użytkownika w baza danych publikacja.

  • Mieć uprawnienia do odczytu z udziału migawka.

Co najmniej konto używane do łączenia się z subskrybent musi być członkiem db_owner ustalone rola bazy danych baza danych subskrypcja.

Scalanie Agent dla ściągać subskrypcja

Konto systemu Windows, w ramach którego działa agent jest używany podczas ułatwia połączeń do subskrybent.Co najmniej to konto musi być członkiem db_owner stała rola bazy danych w bazie danych subskrypcja.

Konto używane do łączenia się z programem Wydawca a dystrybutor musi:

  • Być element członkowski z PAL.

  • Należy identyfikator logowania skojarzone z użytkownikiem w baza danych publikacja.

  • Należy identyfikator logowania skojarzone z użytkownikiem w baza danych dystrybucji.Użytkownik może być Guest użytkownik.

  • Mieć uprawnienia do odczytu z udziału migawka.

Kolejka agenta Reader

Konto systemu Windows, w ramach którego działa agent jest używany podczas ułatwia połączeń do dystrybutor.Co najmniej to konto musi być członkiem db_owner stała rola bazy danych baza danych dystrybucji.

Co najmniej konta które jest używane do łączenia się z wydawcą musi być członkiem db_owner stała rola bazy danych w bazie danych publikacja.

Co najmniej konto używane do łączenia się z subskrybent musi być członkiem db_owner stała rola bazy danych w bazie danych subskrypcja.

Agent zabezpieczeń pod agenta programu SQL Server

Konfigurowanie replikacja przy użyciu SQL Server Management Studio, Transact-SQL procedury lub RMO, SQL Server zadanie agenta jest tworzony domyślnie dla każdego agenta. Następnie uruchamiane w kontekście agentów zadanie kroku, niezależnie od tego, czy działają w sposób ciągły, zgodnie z harmonogramem lub na żądanie.Można wyświetlać te zadania w obszarze Zadania folder SQL Server Management Studio. Poniższa lista zawiera nazwy zadanie.

Agent

Nazwa zadanie

Agent migawka

<Wydawca>-<PublicationDatabase>-<publikacja>-<Liczba całkowita>

Agent migawka przeznaczone na partycję publikacja seryjnej

Dyn_<Wydawca>-<PublicationDatabase>-<publikacja>-<IDENTYFIKATOR GUID>

Agent odczytywania dziennika

<Wydawca>-<PublicationDatabase>-<Liczba całkowita>

Scalanie Agent ściągać subskrypcji

<Wydawca>-<PublicationDatabase>-<publikacja>-<Subskrybent>-<SubscriptionDatabase>-<Liczba całkowita>

Scalanie Agent dla wypychanie subskrypcji

<Wydawca>-<PublicationDatabase>-<publikacja>-<Subskrybent>-<Liczba całkowita>

Agent dystrybucji dla wypychanie subskrypcji

<Wydawca>-<PublicationDatabase>-<publikacja>-<Subskrybent>-<Liczba całkowita>1

Agent dystrybucji dla ściągać subskrypcji

<Wydawca>-<PublicationDatabase>-<publikacja>-<Subskrybent>-<SubscriptionDatabase>-<IDENTYFIKATOR GUID>2

Agent dystrybucji dla wypychanie do innych niż-programu SQL Server subskrybenci subskrypcji

<Wydawca>-<PublicationDatabase>-<publikacja>-<Subskrybent>-<Liczba całkowita>

Kolejka agenta Reader

[<Distributor>].<integer>

1 W przypadku subskrypcji wypychanej do publikacji, Oracle Nazwa zadanie jest <Wydawca>-<Wydawca> zamiast <Wydawca>-<PublicationDatabase>.

2 W przypadku subskrypcji ściąganej do publikacji, Oracle Nazwa zadanie jest <Wydawca>-<DistributionDatabase> zamiast <Wydawca>-<PublicationDatabase>.

Podczas konfigurowania replikacja, można określić konta, pod którą ma być wykonywane agentów.Jednak zadań wszystkie kroki uruchamiane w kontekście zabezpieczeń serwer proxy; dlatego replikacja wykonuje następujące mapowania wewnętrznie dla określonych kont agenta:

  • The account is first mapped to a credential by using the Transact-SQLCREATE CREDENTIAL statement.SQL Server Agent proxy używa poświadczenia do przechowywania informacji na temat kont użytkowników systemu Windows.

  • The sp_add_proxy procedura przechowywana is called, and the credential is used to create a proxy.Aby uzyskać więcej informacji na temat serwerów proxy Zobacz Creating SQL Server Agent Proxies.

Uwaga

Informacja ta zapewnia zrozumieć, na czym polega uruchomiony w kontekście zabezpieczeń odpowiednich agentów.Nie powinno się interaktywnie pracować bezpośrednio z poświadczenia lub serwery proxy, które zostały utworzone.