Çoğaltma aracısı güvenlik modeli
Hangi çoğaltma aracıları çalışması ve bağlantıları hesapları üzerinden hassas bir denetim için çoğaltma aracısı güvenlik modeli sağlar: Farklı bir hesap için her Aracısı belirtilebilir.Hesapları belirtme hakkında daha fazla bilgi için bkz: Oturumları ve çoğaltma parolaları yönetme.
.gif "Önemli not") Önemli |
|---|
üye sysadmin sabit sunucu rolü için çoğaltmayı yapılandırır, çoğaltma aracıları taklit edecek biçimde yapılandırılabilir SQL Server aracısı hesabı.Bu, oturum açma ve parola için çoğaltma aracısı belirterek değil yapılır; Ancak, bu yaklaşımı önermeyiz.Bunun yerine, bir güvenlik en iyi yöntemi olarak, her Aracısı "İzinleri olan gerekli tarafından aracıları" bölümünde açıklanan en düşük izinlere sahip bir hesap belirtmeniz önerilir Bu konuda daha sonra. |
Çoğaltma aracıları, tüm yürütülebilir dosyaları gibi bir Windows hesabı bağlamında çalışır.Aracılar, bu hesabı kullanarak Windows tümleşik güvenlik bağlantı kurun.Agent çalıştığı hesabı Aracısı nasıl başlatıldığını bağlıdır:
Aracısı'ndan başlayarak bir SQL Server Aracısı iş, varsayılan: Zaman bir SQL Server Aracısı iş çoğaltma aracısı başlatmak için kullanılan, Distributor bağlamında bir hesabın, belirttiğiniz biçimde yapılandırdığınızda çoğaltma.Hakkında daha fazla bilgi için SQL Server Aracısı ve çoğaltma, "Agent güvenlik altında sql Server Agent" bölümüne bakın Bu konuda daha sonra.İzinler hakkında bilgi için hangi hesap için gerekli SQL Server Aracısı çalışır Bkz: SQL Server Agent yapılandırma.
Aracı doğrudan veya bir komut dosyası aracılığıyla bir ms-dos komut satırından başlatma: Agent komut satırında Aracısı çalıştıran kullanıcı hesabı bağlamında çalışır.
Aracı kullanan bir uygulama başlatma Çoğaltma Yönetim Nesneleri (rmo) veya ActiveX denetimi: Aracı rmo veya ActiveX denetimi çağıran uygulama bağlamında çalışır.
Not
ActiveX denetimleri kaldırılmıştır.
Bağlantıları Windows tümleşik güvenlik bağlamında yapılması önerilir.Geriye doğru uyumluluk için SQL Server Güvenlik da kullanılabilir.En iyi yöntemler hakkında daha fazla bilgi için bkz: Çoğaltma güvenlik en iyi yöntemler.
Not
Çoğaltma komut dosyaları tarafından oluşturulan SQL Server 2000 Yükseltme için SQL Server 2008 için yararlanırlar güvenlik geliştirmeleri.Daha fazla bilgi için bkz: Nasıl yapılır: Çoğaltma komut dosyaları (çoğaltma Transact-SQL programlama) yükseltme.
Aracılar tarafından gerekli izinleri
Hesaplar altında çalışacağı aracıları çalışması ve bağlantıları çeşitli izinleri gerektirir.Aşağıda, bu izinler açıklanan tablo.Farklı bir Windows hesabı ve hesabı altında çalıştırmak her Aracısı yalnızca gerekli izinleri verilmelidir öneririz.Aracıları sayısı için uygundur, yayın erişim listesi (pal) hakkında bilgi için bkz: Yayımcı güvenliğini sağlama.
Not
Kullanıcı hesabı denetimi (uac) Windows Vista yönetim erişimi engelleyebilirsinizanlık görüntü paylaşım. Bu nedenle açıkça Snapshot Agent Dağıtım Aracısı ve Birleştirme Aracısı tarafından kullanılan Windows hesaplarına anlık görüntü paylaşım izinleri vermeniz gerekir.Yöneticiler grubunun üyeleri Windows hesapları olsa bile bunu yapmanız gerekir.Daha fazla bilgi için bkz: Anlık görüntü klasörü güvenli hale getirme.
Agent |
İzinler |
|---|---|
Anlık Görüntü Aracısı |
Aracı çalıştığı Windows hesabı dağıtıcıya bağlantı kurduğunda kullanılır.Bu hesabı gerekir:
Yayımcı için bağlanırken kullanılan hesap en azından üye olması gerekir db_owner sabit veritabanı rolü yayın veritabanı. |
Günlük Okuyucu Aracısı |
Aracı çalıştığı Windows hesabı dağıtıcıya bağlantı kurduğunda kullanılır.Bu hesap en azından üye olmalıdır db_owner sabit veritabanı rolü dağıtım veritabanı. Yayımcı için bağlanırken kullanılan hesap en azından üye olması gerekir db_owner sabit veritabanı rolü yayın veritabanı. |
Dağıtım Aracısı için birgönderme temelli abonelik |
Aracı çalıştığı Windows hesabı dağıtıcıya bağlantı kurduğunda kullanılır.Bu hesabı gerekir:
Abone için bağlanmak için kullanılan hesap en azından üye olmanız db_owner sabit veritabanı rolü abonelik veritabanı, veya abonelik bir olmayan - sql Server abone için ise eşdeğer izinlere sahip. |
Dağıtım Aracısı istek temelli abonelik için |
Aracı çalıştığı Windows hesabı abone ile bağlantı kurduğunda kullanılır.Bu hesap en azından üye olmalıdır db_owner sabit veritabanı rolü abonelik veritabanı. Dağıtımcı olarak bağlanmak için kullanılan hesabı gerekir:
|
Birleştirme Aracısı için birgönderme temelli abonelik |
Yayımcı ve dağıtımcı bağlantı yaptığında, aracı çalıştığı Windows hesabı kullanılır.Bu hesabı gerekir:
Abone için bağlanmak için kullanılan hesap en azından üye olmanız db_owner sabit veritabanı rolü abonelik veritabanı. |
istek temelli abonelik için Aracısı Birleştir |
Aracı çalıştığı Windows hesabı abone ile bağlantı kurduğunda kullanılır.Bu hesap en azından üye olmalıdır db_owner sabit veritabanı rolü abonelik veritabanı. Yayımcı ve dağıtımcı bağlanmak için kullanılan hesabı gerekir:
|
Queue Reader Agent |
Aracı çalıştığı Windows hesabı dağıtıcıya bağlantı kurduğunda kullanılır.Bu hesap en azından üye olmalıdır db_owner sabit veritabanı rolü dağıtım veritabanı. Yayımcı için bağlanırken kullanılan hesap en azından üye olması gerekir db_owner sabit veritabanı rolü yayın veritabanı. Abone için bağlanmak için kullanılan hesap en azından üye olmanız db_owner sabit veritabanı rolü abonelik veritabanı. |
sql Server aracısı altında Aracısı güvenlik
Kullanarak çoğaltma yapılandırırken SQL Server Management Studio, Transact-SQL yordamları veya rmo, bir SQL Server Aracısı iş için her aracı varsayılan olarak oluşturulurAracıları bağlamında olup bunlar sürekli olarak bir zamanlama veya isteğe bağlı yapmadığınıza bakmaksızın bir iş adım çalıştırın.Bu işlerin altından görebilirsiniz İş klasöründe SQL Server Management Studio.Aşağıdaki tablo iş adlarını listeler.
Agent |
İş adı |
|---|---|
Anlık Görüntü Aracısı |
<Yayımcı>–<PublicationDatabase>–<yayın>–<Tamsayı> |
Bir birleştirme yayın bölüm için Anlık Görüntü Aracısı |
Dyn_<Yayımcı>–<PublicationDatabase>–<yayın>–<GUID> |
Günlük Okuyucu Aracısı |
<Yayımcı>–<PublicationDatabase>–<Tamsayı> |
Çekme abonelik için Aracısı Birleştir |
<Yayımcı>–<PublicationDatabase>–<yayın>–<abone>–<SubscriptionDatabase>–<Tamsayı> |
Birleştirme Aracısı gönderme abonelikleri için |
<Yayımcı>–<PublicationDatabase>–<yayın>–<abone>–<Tamsayı> |
gönderme abonelikleri için Dağıtım Aracısı |
<Yayımcı>–<PublicationDatabase>–<yayın>–<abone>–<tamsayý>1 |
Çekme abonelikleri için Dağıtım Aracısı |
<Yayımcı>–<PublicationDatabase>–<yayın>–<abone>–<SubscriptionDatabase>–<GUID>2 |
Dağıtım Aracısı gönderme abonelikleri için olmayan - sql Server aboneleri için |
<Yayımcı>–<PublicationDatabase>–<yayın>–<abone>–<Tamsayı> |
Queue Reader Agent |
[<Distributor>].<integer> |
1 Oracle yayınlar için gönderme abonelikleri için iş adı olan <Yayımcı>–<Yayımcı> yerine <Yayımcı>–<PublicationDatabase>.
2 Oracle yayınlar için çekme abonelikleri için iş adı olan <Yayımcı>–<DistributionDatabase> yerine <Yayımcı>–<PublicationDatabase>.
çoğaltma yapılandırırken, hesapları altında aracılar çalıştırmalısınız belirtin.Ancak, tüm güvenlik bağlamında çalıştırmak adımları iş bir proxy; Bu nedenle, çoğaltma aşağıdaki eşlemeleri belirttiğiniz Aracısı hesapları için dahili olarak gerçekleştirir:
The account is first mapped to a credential by using the Transact-SQL CREATE CREDENTIAL statement.SQL Server Aracısı proxy kimlik bilgileri Windows kullanıcı hesapları hakkında bilgi depolamak için kullanın.
The sp_add_proxy stored procedure is called, and the credential is used to create a proxy.Proxy sunucuları hakkında daha fazla bilgi için bkz: SQL Server aracısı proxy oluşturma.
Not
Bu bilgiler ne uygun güvenlik bağlamıyla aracıları çalıştıran dahil olduğu anlamanıza yardımcı olmak için sağlanmıştır.Doğrudan kimlik bilgileri veya oluşturulmuş proxy'leri ile etkileşim kurmak olmamalıdır.
Ayrıca bkz.