Çoğaltma aracısı güvenlik modeli
Çoğaltma aracısı güvenlik modeli altında hangi çoğaltma aracıları çalıştırmak ve bağlantı hesapları üzerinde iyi ayarlanmış bir denetim sağlar: farklı bir hesap için her Aracısı belirtilebilir. Hesapları belirtme hakkında daha fazla bilgi için bkz: Oturum ve parolalar çoğaltma yönetmek.
Önemli |
---|
Bir üyesi sysadmin sabit sunucu rolü yapılandırır çoğaltma, çoğaltma aracıları kimliğine bürünecek biçimde yapılandırılabilir SQL ServerAracısı hesabı. Bu, bir kullanıcı adı ve parola çoğaltma aracısı için belirterek değil yapılır; Ancak, bu yaklaşımı önermeyiz. Bunun yerine, bir güvenlik en iyi yöntemi öneririz "İzinleri olan gerekli tarafından ajanlar" bölümünde açıklanan en düşük izinler vardır her Aracısı için bir hesap belirtin Bu konudaki. |
Çoğaltma aracıları, tüm yürütülebilir dosyaları gibi Windows hesabı bağlamında çalışır. Ajanlar, bu hesabı kullanarak Windows tümleşik güvenliği bağlantıları yapın. Agent çalıştığı hesabı aracı nasıl başlatıldığını bağlıdır:
Aracısı'ndan başlayan bir SQL ServerAracısı işi, varsayılan: ne zaman bir SQL ServerAracısı iş çoğaltma aracısı başlatmak için kullanıldığında, çoğaltma yapılandırırken belirttiğiniz hesabın bağlamı altında çalışacağı. Hakkında daha fazla bilgi için SQL ServerAracısı ve çoğaltma, "Agent güvenlik altında SQL Server Agent" bölümüne bakın Bu konudaki. İzinler hakkında bilgi için hangi hesap için gerekli SQL ServerAracı çalışır öğrenmek için bkz. SQL Server Aracısı'nı yapılandırma.
Aracı doğrudan veya bir komut dosyası aracılığıyla bir ms-dos komut satırından başlayarak: aracı komut satırında Aracısı çalıştıran kullanıcı hesabı bağlamında çalışır.
Çoğaltma Yönetimi Nesneleri'ni (rmo) veya ActiveX denetimi kullanan bir uygulama aracı başlangıç: aracı rmo veya ActiveX denetimi çağıran uygulama bağlamında çalışır.
[!NOT]
ActiveX denetimleri onaylanmaz.
Bağlantıları Windows tümleşik güvenlik bağlamı altında yapılması önerilir. Geriye dönük uyumluluk, SQL Servergüvenlik-ebilmek da var olmak kullanılmış. En iyi yöntemler hakkında daha fazla bilgi için bkz: ModeliveÇoğaltma güvenlik en iyi uygulamalar.
Aracılar tarafından gerekli izinleri
Hangi aracıları çalıştırmak ve bağlantı hesapları çeşitli izinler gerektirir. Bu izinleri aşağıdaki tabloda açıklanmıştır. Farklı bir Windows hesabı ve hesabı altında çalıştırmak her Aracısı yalnızca gerekli izinleri verilmesi gerektiğini öneririz. Birkaç acenteleri için ilgilidir, yayını erişim listesi (pal), hakkında bilgi için bkz: Publisher'ı güvenli.
[!NOT]
Kullanıcı hesabı denetimi (uac) Windows Vistaanlık görüntü paylaşımına yönetim erişimi engelleyebilirsiniz. Bu nedenle açıkça Windows hesaplarına anlık görüntü Aracısı, Dağıtım Aracısı ve Birleştirme Aracısı tarafından kullanılan anlık görüntü paylaşım izinleri vermeniz gerekir. Yöneticiler grubunun üyeleri Windows hesapları olsa bile bunu yapmanız gerekir. Daha fazla bilgi için, bkz. Anlık görüntü klasörü güvenli.
Aracısı |
İzinler |
---|---|
Anlık görüntü Aracısı |
Bağlantıları Dağıtımcı olarak yapar aracı çalıştığı Windows hesabı kullanılır. Bu hesabı gerekir:
Yayımcı bağlanmak için kullanılan hesabı en az bir üyesi olmanız db_owner sabit veritabanı rolü yayını veritabanında. |
Günlük Okuma Aracısı |
Bağlantıları Dağıtımcı olarak yapar aracı çalıştığı Windows hesabı kullanılır. Bu hesap en az bir üyesi olmalıdır db_owner sabit veritabanı rolü dağıtım veritabanı. Yayımcı bağlanmak için kullanılan hesabı en az bir üyesi olmanız db_owner sabit veritabanı rolü yayını veritabanında. |
Itme abonelik Dağıtım Aracısı |
Bağlantıları Dağıtımcı olarak yapar aracı çalıştığı Windows hesabı kullanılır. Bu hesabı gerekir:
Abone için bağlanmak için kullanılan hesabı en az bir üyesi olmanız db_owner abonelik veritabanında veritabanı rolünün sabit veya abonelik bir olmayan - SQL Server abone için ise eşdeğer izinlere sahip. |
Çekme abonelik Dağıtım Aracısı |
Bağlantıları için abone yapar aracı çalıştığı Windows hesabı kullanılır. Bu hesap en az bir üyesi olmalıdır db_owner abonelik veritabanında sabit veritabanı rolü. Dağıtımcı olarak bağlanmak için kullanılan hesabı gerekir:
|
Itme abonelik için Aracısı Birleştir |
Publisher ve dağıtımcı bağlantı yaptığında aracı çalıştığı Windows hesabı kullanılır. Bu hesabı gerekir:
Abone için bağlanmak için kullanılan hesabı en az bir üyesi olmalıdır db_owner abonelik veritabanında sabit veritabanı rolü. |
Çekme abonelik için Aracısı Birleştir |
Bağlantıları için abone yapar aracı çalıştığı Windows hesabı kullanılır. Bu hesap en az bir üyesi olmalıdır db_owner abonelik veritabanında sabit veritabanı rolü. Publisher ve dağıtımcı bağlanmak için kullanılan hesabı gerekir:
|
Sıra Okuyucu Aracısı |
Bağlantıları Dağıtımcı olarak yapar aracı çalıştığı Windows hesabı kullanılır. Bu hesap en az bir üyesi olmalıdır db_owner sabit veritabanı rolü dağıtım veritabanı. Yayımcı bağlanmak için kullanılan hesabı en az bir üyesi olmanız db_owner sabit veritabanı rolü yayını veritabanında. Abone için bağlanmak için kullanılan hesabı en az bir üyesi olmanız db_owner abonelik veritabanında sabit veritabanı rolü. |
SQL Server Aracısı altında güvenlik Aracısı
Kullanarak çoğaltmayı yapılandırırken SQL Server Management Studio, Transact-SQLyordamlar veya rmo, bir SQL ServerAracısı işi her aracı için varsayılan olarak oluşturulan. Ajanlar, zamanlama veya isteğe bağlı olup sürekli olarak çalıştırmaları bakılmaksızın bir iş adım bağlamında çalıştırın. Sen-ebilmek görüş altında bu işler İş klasöründe SQL Server Management Studio. Aşağıdaki tabloda proje adlarını listeler.
Aracısı |
İş adı |
---|---|
Anlık görüntü Aracısı |
<Yayıncı>-<PublicationDatabase>-<yayın>-<tamsayı> |
Bir birleştirme yayını bölüm için anlık görüntü Aracısı |
Dyn_<Publisher>-<PublicationDatabase>-<yayın>-<GUID> |
Günlük Okuma Aracısı |
<Yayıncı>-<PublicationDatabase>-<tamsayı> |
Çekme abonelik için Aracısı Birleştir |
<Yayıncı>-<PublicationDatabase>-<yayın>-<abone>-<SubscriptionDatabase>-<tamsayı> |
Itme abonelik için Aracısı Birleştir |
<Yayıncı>-<PublicationDatabase>-<yayın>-<abone>-<tamsayı> |
Itme abonelikleri için Dağıtım Aracısı |
<Yayıncı>-<PublicationDatabase>-<yayın>-<abone>-<Tamsayı>1 |
Çekme abonelikleri için Dağıtım Aracısı |
<Yayıncı>-<PublicationDatabase>-<yayın>-<abone>-<SubscriptionDatabase>-<GUID>2 |
Dağıtım Aracısı itme abonelik için olmayan - SQL Server aboneleri için |
<Yayıncı>-<PublicationDatabase>-<yayın>-<abone>-<tamsayı> |
Sıra Okuyucu Aracısı |
<Dağıtıcı>.<tamsayı> |
1 Oracle yayınlar için itme abonelikleri için iş adı ise <Publisher>-<Publisher> yerine <Publisher>-<PublicationDatabase>.
2 Oracle yayınlar için çekme abonelikleri için iş adı ise <Publisher>-<DistributionDatabase> yerine <Publisher>-<PublicationDatabase>.
Çoğaltmayı yapılandırırken, hesapları altında aracıları çalıştırmak belirtin. Ancak, tüm iş adımları güvenlik bağlamı altında çalışan bir vekil; Bu nedenle, çoğaltma aşağıdaki eşlemeleri dahili olarak belirttiğiniz Aracısı hesaplarını gerçekleştirir:
Hesabı kullanarak bir kimlik bilgisi ilk eşleştirilir Transact-SQL Kimlik bilgisi oluşturmak deyimi. SQL ServerAracısı Proxy kimlik bilgileri Windows kullanıcı hesapları hakkında bilgi depolamak için kullanın.
Sp_add_proxy saklı yordam adı ve kimlik bilgileri bir proxy oluşturmak için kullanılır.
[!NOT]
Bu bilgiler, ne aracıları ile ilgili güvenlik bağlamında çalışan yer olduğunu anlamanıza yardımcı olmak için sağlanmıştır. Kimlik bilgileri veya oluşturulan vekiller ile doğrudan etkileşim olmamalıdır.
Ayrıca bkz.
Kavramlar
ModeliveÇoğaltma güvenlik en iyi uygulamalar