Настройка учетных записей Windows для экземпляра служб Notification Services
Изменения: 14 апреля 2006 г.
Ядро служб Notification Services является ключевым компонентом для работы служб Notification Services. Это ядро запускает внутрипроцессные поставщики событий, генератор и распространители, которые используются для передачи событий, создания уведомлений и распространения конечных сообщений. Как правило, ядро запускается службой Windows NS$имя_экземпляра Microsoft, но также может размещаться в другом приложении или процессе.
Ядро запускается в контексте учетной записи Windows. Если используется служба Windows NS$instanceName, при регистрации экземпляра Notification Services необходимо указать учетную запись, под которой была запущена служба. Если ядро размещается в другом приложении или процессе, то для них необходимо настроить разрешения Windows.
Разрешения Windows, необходимые для ядра
Учетная запись, под которой запускается ядро, должна иметь следующие разрешения:
- Разрешения на чтение и выполнение в папке служб Notification Services (%ProgramFiles%\Microsoft SQL Server\90\NotificationServices\n.n.nnn) и вложенных папках. По умолчанию только члены локальных групп администраторов и опытных пользователей имеют доступ к файлам в этих папках. Службы Notification Services предоставляют эти разрешения при регистрации экземпляра с помощью добавления учетной записи службы к группе Windows SQLServer2005NotificationServicesUser$ComputerName.
- Разрешение на чтение и запись в разделы реестра находится в следующих разделах реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Services\NotificationServices и HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services. Это разрешение предоставляется учетной записи службы Windows при создании службы во время регистрации экземпляра.
- Разрешение на запись в журнал приложений Windows.
- Для приложений, использующих поставщик событий наблюдателя файловой системы, поставщик событий должен иметь доступ на чтение и переименование файлов в папке, в которую помещаются события, и доступ на чтение файла схемы событий (XSD).
- Для приложений, использующих для регистрации уведомлений протокол доставки файлов, распространитель должен иметь разрешения на запись в папку, в которую записываются уведомления.
- Для приложений, использующих модуль форматирования данных XSLT, распространитель должен иметь разрешение на чтение папок с файлами XSLT. Дополнительные сведения см. в разделе Местоположения XSLT-файлов.
Кроме того, учетная запись ядра может потребовать членства в локальной группе «Администраторы». Если размещенное на экземпляре приложение использует для отправки уведомлений локальные службы IIS с простым протоколом пересылки электронной почты (SMTP), то распространитель должен отправлять эти уведомления в контексте администратора.
Важно! |
---|
Ядро также должно иметь разрешения для доступа к базам данных SQL Server, используемым экземпляром. Дополнительные сведения см. в разделе Настройка разрешений SQL Server для экземпляра служб Notification Services. |
Типы учетной записи службы Windows
Если ядро экземпляра служб Notification Services не размещено в отдельном приложении или процессе, то экземпляр запускается как служба Windows. Служба Windows может запускаться под следующими типами учетной записи, хотя некоторыми из них сложней управлять, поэтому использовать их не рекомендуется:
- Доменная учетная запись пользователя. Доменная учетная запись облегчает контроль доступа к сетевым ресурсам и к базам данных, так как для нее можно задать точные разрешения. Для оптимального управления разрешениями, предоставленными службе, администратор домена может создать новую учетную запись для экземпляра служб Notification Services.
- Локальная учетная запись пользователя. Можно создать учетную запись пользователя на локальном компьютере и запустить под ней службу NS$имя_экземпляра. Учетная запись имеет формат компьютер\имя_пользователя. Если базы данных расположены на одном и том же сервере, то этой учетной записи можно предоставить разрешения на доступ к базам данных. Если базы данных расположены на удаленном компьютере, то необходимо настроить учетную запись входа в SQL Server для экземпляра служб Notification Services.
- Учетная запись NT AUTHORITY\Local Service. Это встроенная учетная запись, которая доступна в операционных системах Microsoft Windows XP и Microsoft Windows Server 2003. Учетная запись локальной службы имеет тот же уровень доступа к ресурсам и объектам, что и члены группы «Пользователи». Она имеет доступ к сетевым ресурсам как неопределенный сеанс без учетных данных. Если базы данных расположены на одном и том же сервере, то этой учетной записи можно предоставить разрешения на доступ к базам данных. Однако корпорация Майкрософт не рекомендует использовать учетную запись локальной службы для службы NS$имя_экземпляра. Эта учетная запись может использоваться несколькими службами, поэтому сложно контролировать, какая служба имеет доступ к базам данных SQL Server.
- Учетная запись NT AUTHORITY\Network Service. Это встроенная учетная запись доступна в операционных системах Windows XP и Windows Server 2003. Корпорация Microsoft не рекомендует использовать учетную запись сетевой службы для службы NS$имя_экземпляра. Все службы, запущенные под сетевой учетной записью, при доступе к сетевым ресурсам сопоставляются учетной записи домен\имя_удаленного_компьютера$. Эта учетная запись может использоваться несколькими службами, поэтому сложно контролировать какая служба имеет доступ к сетевым ресурсам и к базам данных SQL Server.
- Учетная запись локальной системы. Это встроенная учетная запись. Корпорация Microsoft не рекомендует использовать учетную запись локальной системы для службы NS$имя_экземпляра, так как эта учетная запись имеет неограниченный доступ ко всем локальным ресурсам. Все службы, запущенные под учетной записью локальной системы, при доступе к сетевым ресурсам сопоставляются учетной записи домен\имя_удаленного_компьютера$. Эта учетная запись может использоваться несколькими службами, поэтому сложно контролировать какая служба имеет доступ к сетевым ресурсам и к базам данных SQL Server.
Задание учетной записи для службы Windows
Задайте учетную запись Windows для службы Windows NS$имя_экземпляра при создании службы. Создайте службу при регистрации экземпляра. Можно обновить учетную запись с помощью перерегистрации экземпляра или изменения учетной записи в диспетчере служб Windows.
- Как зарегистрировать экземпляр служб Notification Services для компонентов ядра (среда SQL Server Management Studio)
- Команда nscontrol register
- RegisterLocal
См. также
Основные понятия
Размещение ядра служб Notification Services
Настройка служб Windows для служб Notification Services
Настройка разрешений SQL Server для экземпляра служб Notification Services
Другие ресурсы
Настройка учетных записей служб Windows
Справка и поддержка
Получение помощи по SQL Server 2005
Журнал изменений
Версия | Журнал |
---|---|
14 апреля 2006 г. |
|