Aracılığıyla paylaş


Veri ve günlük dosyalarının güvenliğini sağlama

The SQL Server sets file access permissions on the physical data and log files of each database to specific accounts.Izinler, açık izinlere sahip bir dizinde bulunması gereken Viewer'in gelen dosyaları engeller.Izinler kümesi ve işletim sistemi izinleri veritabanı dizini yoksa, küme Tam Denetim herkes bu dizine erişimi olan herhangi bir hesabı silin veya bunlar sahip olsa bile veritabanı dosyalarını değiştirmek içinSQL Server veritabanının kendisi için değiştirmek için izinler'ı tıklatın.

Dosya erişim izinlerini herhangi aşağıdaki veritabanı işlemleri sırasında küme: oluşturma, ekleme, ayırma, yedekleme, yeni bir dosya eklemek, değiştirmek veya geri yükleniyor.

Yönetim konuları

  • Dosya sistemi erişim denetim Win32 desteklediğinde izinlerinin ayarlandığından, örneğin NTFS dosya sistemi.The Database Engine cannot küme permissions on files stored on raw partitions or the FAT and FAT32 file systems.

  • Işletim sistemi Yöneticisi dosya izinleri el ile değişiklik yapar, Database Engine özgün izinleri zorunlu kılmak üzere denemez.

  • If the SQL Server (MSSQLSERVER) hizmet account is changed by using SQL Server Management Studio, Management Studio tries to add the account and correct permissions to all existing database files. hizmet hesabı değişti sırada kullanılamaz durumdadır veritabanları başarısız olabilir.

  • Işletim sistemi Yöneticisi MSSQLSERVER hizmeti hesabının Microsoft Windows Services'ı kullanarak değiştirilirse, yeni hizmet hesabı vermelisiniz Tam Denetim izinler tüm veritabanı ve günlük dosyaları.

Bir veritabanı oluşturmak veya yeni bir dosya ekleme

Bir veritabanı oluşturma veya yeni bir dosya ekleme, değiştirme, MSSQLSERVER hizmet hesabı ve yerel Administrators grubunun üyelerine verilir Tam Denetim erişimi veri ve günlük dosyaları.Dosya erişimi, diğer tüm hesaplar için kaldırılır.

Metatabanını yedekleme ve bir veritabanı geri yükleme

Tam Denetimyerel Yöneticiler grubunun üyeleri ve MSSQLSERVER hizmet hesabı için verilmiş içine veya yedek, geri yükleme yüklemek için oluşturulan dosyanın izinlerini.

Dosya zaten var ve MSSQLSERVER hizmet hesabı zaten dosyayı izni, yedek veya geri yükleme işlemi devam eder.Aksi durumda, Database Engine işlem gerçekleştiriyor ve bu dosyayı açmaya çalıştığında bağlantının Windows hesabını temsil eder. Dosyayı açtıktan sonra izinler MSSQLSERVER hizmet hesabı ve yerel Administrators grubunun üyeleri için verilir.

Yedek dosyaları (dosyaları geri alma alma) aynı şekilde davranılır.

Ayırma ve bir veritabanı ekleme

Ayırma veya bir veritabanını iliştirmek Database Engine Bağlantı hesabı veritabanına erişmek ve günlük dosyalarını izni olduğunu güvence altına almak için bu işlemi Windows hesabının kimliğine bürünmek çalışır. Kullandığınız karışık güvenlik hesapları SQL Server oturum açma sayısı, Kimliğe bürünmeyi başarısız olabilir.

Security noteSecurity Note:

Veritabanı Bilinmeyen veya güvenilmeyen kaynaklardan gelen eklediğiniz değil, öneririz.Bu tür veritabanlarının yürütmek, kötü amaçlı kod içerebilir istenmeyen Transact-SQL şema veya fiziksel veritabanı yapısı değiştirerek kod veya neden hata. Bilinmeyen veya güvenilmeyen bir kaynaktan gelen bir veritabanı kullanmadan önce çalıştırın. dbcc checkdb nonproduction sunucusundaki veritabanında ve ayrıca ya da diğer kullanıcı tanımlı kod, veritabanında saklı yordamlar kodun sınayın.

Izinleri aşağıdaki tabloda gösterilmektedir küme veritabanı günlük dosyaları, sonra bir bağlama veya ayırma işlemi tamamlanır ve kaydedilip bağlantı hesabı tarafından özellikleri Database Engine.

Işlem

Hesap bağlantı özellikleri

Verilen dosya izinleri

Ayır

Evet

Yalnızca işlem gerçekleştirme hesabı.Veritabanı ilişkisi kesildi sonra bunlar gerekiyorsa, ek hesaplarını bir işletim sistemi Yöneticisi tarafından eklenebilir.

Ayır

Hayır

The SQL Server (MSSQLSERVER) hizmet account and members of the local Windows Administrators group.

Ekleme

Evet

The SQL Server (MSSQLSERVER) hizmet account and members of the local Windows Administrators group.

Ekleme

Hayır

The SQL Server (MSSQLSERVER) hizmet account.

Senaryosu

Aşağıdaki senaryo, bir veritabanı oluşturduğunuzda ve veritabanı ilişkisi kesildi, bağlı, değişiklik, ayarlanan izinleri gösterir.

Kullanıcı1, a üye of the dbcreator Veritabanı sabit sunucu rolü, oluştururSatış dosyaları e:\Data\Sales.mdf ve f:\Log\Sales.ldf. Veritabanı oluşturulur anda MSSQLSERVER hizmet hesabıdır SQLServiceAccount2, bir yerel hesap.Tam Denetim Veritabanı ve günlük dosyalarının izinlerini için verilirSQLServiceAccount2 ve Windows Yöneticiler grubunun bir üyesi.

Taşımak için çalışılabileceğine karar Satış veritabanına başka örnek SQL Server aynı sunucuda. Admin3 üyesisysadmin sabit sunucu rolü, veritabanını ayırır.The Database Engine sets the permissions on the Sales.mdf and Sales.ldf files so that only the Admin3 account has permissions to access the files.

Admin3 diğer bağlayan örnek SQL Server, SalesServer.MSSQLSERVER hizmet hesabı için SalesServer örnekSQLSalesServiceAccount.Admin3, a SQL Server Bu yönetici örnek, iliştirir Satış veritabanıdır.Tam Denetim için izin verilenSQLSalesServiceAccount ve Windows Yöneticiler grubunun bir üyesi.