Настройка служб Analysis Services — назначение учетных записей
Начиная с SQL Server 2005 в SQL Server вносились значительные изменения, позволяющие обеспечить его большую защищенность по сравнению с предыдущими версиями. Все изменения были подчинены общей стратегии «защищенного проектирования, защищенного развертывания и защищенной настройки по умолчанию», способствующей повышению защищенности сервера и развернутых на нем баз данных от угроз безопасности.
В SQL Server 2008 продолжается процесс усиления безопасности за счет внесения новых изменений в серверные компоненты и компоненты базы данных. Изменения, появившиеся в версии SQL Server 2008, помогают сократить контактную зону и уязвимую зону сервера и баз данных, применяя политику наименьших прав доступа и увеличивая степень разделения задач администрирования Windows NT и администрирования SQL Server. В частности, принимаются следующие меры.
SQL Server позволяет назначить одного или нескольких участников Windows членами роли сервера Sysadmin. Такая возможность доступна в ходе установки новых экземпляров SQL Server 2008.
Удалена программа настройки контактной зоны (SAC). Она была замещена управлением на основе политик и набором изменений в диспетчере конфигурации SQL Server.
Эти изменения сыграют свою роль при планировании безопасности SQL Server и помогут создать более полный профиль безопасности для системы.
Рекомендации по запуску SQL Server 2008 в Windows Vista и Windows Server 2008
В версиях Windows ранее Windows Vista и Windows Server 2008 членам локальной группы «Администраторы» не требовались собственные имена входа SQL Server и им не нужно было предоставлять права администратора в SQL Server. Они подключались к SQL Server как встроенный участник «BUILTIN\Администраторы» на уровне сервера и имели права администратора в SQL Server, поскольку участник «BUILTIN\Администраторы» является членом предопределенной роли sysadmin сервера.
В Windows Vista и Windows Server 2008 эти механизмы доступны только для административных пользователей, работающих с повышенными разрешениями Windows, а это не рекомендуется. По умолчанию в операционных системах Windows Vista и Windows Server 2008 администраторы выполняют большую часть действий как обычные пользователи. Поэтому следует создать имя входа SQL Server для каждого административного пользователя и добавить это имя входа в предопределенную роль сервера sysadmin во время установки нового экземпляра SQL Server 2008. Это действие также необходимо выполнить для учетных записей Windows, используемых для выполнения заданий агента SQL Server. Это включает задания агента репликации.
При установке и запуске SQL Server 2008 в Windows Vista и Windows Server 2008 должны приниматься во внимание следующие соображения.
Проблемы, вызванные управлением учетными записями пользователя в Windows Vista и Windows Server 2008.
В Windows Vista и Windows Server 2008 входит новая функция «Контроль учетных записей», которая помогает администраторам управлять повышенными разрешениями. По умолчанию администраторы Windows Vista и Windows Server 2008 не пользуются своими административными правами, выполняя большинство операций от имени обычных пользователей (не администраторов) и принимая административные права только по необходимости.
Возможность «Контроль учетных записей» может вызвать ряд известных проблем. Дополнительные сведения см. на следующих веб-страницах TechNet.
Windows Vista и Windows Server 2008: Управление учетными записями
Параметры
Определить администраторов SQL Server — для экземпляра SQL Server должен быть назначен хотя бы один системный администратор. Чтобы добавить учетную запись, от которой запущена программа установки SQL Server, нажмите кнопку Текущий пользователь. Чтобы добавить или удалить учетные записи из списка системных администраторов, нажмите кнопку Добавить или Удалить и измените список пользователей, групп или компьютеров, обладающих правами администратора для экземпляра SQL Server.
После завершения изменения списка нажмите кнопку ОК, а затем проверьте список администраторов в диалоговом окне конфигурации. После завершения работы со списком нажмите кнопку Далее.