SQL Server 2000
возможность SQL Server 2000
перезапускать сервер и поможет избежать некоторых проблем с
автоматическим выполнением заданий (jobs). Однако такой подход открывает
потенциальную возможность взлома системы с использованием SQL Server
2000. Если вы хотите максимально обезопасить систему, то лучше потратить
некоторое время на конфигурирование прав доступа, не предоставляя учетной
записи административных прав.
Независимо от того, под какой учетной записью предполагается запуск
служб SQL Server 2000, необходимо убедиться в том, что эта учетная запись
имеет следующие права:
О доступ и изменение файлов в папке Program FilesMicrosoft SQL
ServerMssql; О доступ и изменение файлов баз данных — mdf, ndf и Idf;
О чтение и запись следующих ключей реестра:
* HKEY_LOCAL_MACHINESoftwareMicrosoft MSSQLServer; »
HKEY_LOCAL_MACHINESystemCurrentControl set Services MSSQLServer. .
Если свойства запуска служб SQL Server 2000 сконфигурированы некорректно,
то впоследствии их можно изменить с помощью утилиты Services (службы) из
окна Control Panel (панель управления) или с помощью интерфейса
Enterprise Manager
Во всех случаях, требующих наличия сети, необходимо использовать учетную
запись пользователя в домене. Кроме того, если предполагается репликация,
то рекомендуется использовать на всех серверах одну и ту же учетную запись
пользователя в домене для запуска служб SQL Server 2000. Это гарантирует,
что не возникнет никаких конфликтов разрешений на доступ к ресурсам. При
конфигурировании репликации рекомендуется использовать одну и ту же учетную
запись пользователя для издателя и подписчика, чтобы избежать проблем с
разграничением доступа.
Основным компонентом SQL Server 2000 является служба MSSQLServer. Все
остальные компоненты (SQLServerAgent, Microsoft Search и MSDTC)
устанавливают соединение с MSSQLServer. При этом учетные записи, под
которыми стартуют службы SQLServerAgent и MSDTC, должны иметь
соответствующие права на самом сервере. Для этого необходимо назначить
соответствующим учетным записям встроенную роль сервера (fixed server role)
Sysadmin.
Служба Microsoft Search может стартовать только под локальной учетной
записью системы. Для установления соединения со службой MSSQLServer она
использует имя и пароль учетнбй записи, под которой стартует служба
MSSQLServer.
Как уже говорилось выше, каждая служба SQL Server 2000 может стартовать
под собственной учетной записью. Но если нет особых на то причин, то для
того чтобы избежать проблем с правами доступа, рекомендуется запускать
все службы под одной учетной записью. Также можно предоставить учетным
записям служб права администратора локальной операционной системы,
включив их в группу Administrators. Это даст возможность SQL Server 2000
перезапускать сервер и поможет избежать некоторых проблем с
автоматическим выполнением заданий Gobs). Однако такой подход открывает
потенциальную возможность взлома системы с использованием SQL Server
2000. Если вы хотите максимально обезопасить систему, то лучше потратить
некоторое время на конфигурирование прав доступа, не предоставляя учетной
записи административных прав.
Независимо от того, под какой учетной записью предполагается запуск
служб SQL Server 2000, необходимо убедиться в том, что эта учетная запись
имеет следующие права:
О доступ и изменение файлов в папке Program FilesMicrosoft SQL
ServerMssql; О доступ и изменение файлов баз данных — mdf, ndf и Idf; О
чтение и запись следующих ключей реестра:
« HKEY_LOCAL_MACHINESoftwareMicrosoftMSSQLServer;
» HKEY_LOCAL_MACHINESystemCurrentControlsetServicesMSSQLServer.
Если свойства запуска служб SQL Server 2000 сконфигурированы
некорректно, то впоследствии их можно изменить с помощью утилиты Services
(службы) из окна Control Panel (панель управления) или с помощью
интерфейса Enterprise Manager.
Создание учетных записей в Windows 2000
Создание учетных записей в Windows 2000 отличается от создания учетных
записей в Windows NT 4.0. Для управления учетными записями пользователей
домена Windows 2000 используется оснастка (в терминологии Windows NT
-утилита) Active Directory Users and Computers. Когда же выполняется
конфигурирование учетных записей локальных пользователей, то используется
оснастка Computer Management (рис. 7.4). В этом разделе будет рассмотрено
создание учетных записей для локальных пользователей Windows 2000. Создание
пользователей домена отличается лишь тем, что требуется иная утилита и ввод
несколько большего количества информации о пользователе. Однако мы не будем
рассматривать конфигурирование дополнительных сведений о пользователе,
таких как адрес его электронной почты, профиль, возможность использования
RAS и т. д.
При работе с оснасткой Computer Management информация о локальных
пользователях хранится в папке System ToolsLocal Users and GroupsUsers.
При выборе в левой части окна этой папки в правой части будет отображен
список всех пользователей, созданных на выбранном для администрирования
компьютере. Для создания нового пользователя необходимо в контекстном меню
папки Users выбрать пункт New User (новый пользователь). В ответ откроется
одноименное диалоговое окно (рис. 7.5), с помощью которого необходимо
указать основные сведения о создаваемой учетной записи.
Если компьютер, на который предполагается установить SQL Server 2000,
является контроллером домена Windows 2000, то использование локальных
учетных записей пользователей на этом компьютере невозможно, поэтому
соответствующие пункты оснастки Computer Management будут недоступны.
Рассмотрим назначение элементов управления, имеющихся в окне New User
(новый пользователь).
О User name (имя пользователя). Имя учетной записи, которое будет
использоваться при регистрации пользователя в домене. Это имя может быть
произвольным и не всегда отражать имя самого пользователя.
О Full name (полное имя). В этом поле указывается полное имя владельца
учетной записи.
О Description (описание). Это поле предназначено для небольшого
комментария, который помогает идентифицировать учетную запись или ее
владельца. Допускается краткая запись любых других сведений.
О Password (пароль). В этом поле указывается пароль, под которым
пользователю будет разрешаться вход в домен.
О Conform Password (подтверждение пароля). В этом поле необходимо повторить
тот же пароль, что и в предыдущем поле. Это делается, чтобы гарантировать
ввод правильного пароля и избежать ошибок.
О User must change password at next logon (пользователь должен сменить
пароль при следующем входе в систему). Установив этот флажок,
администратор тем самым потребует от пользователя смены пароля при
следующем входе в домен.
О User cannot change password (пользователь не должен менять пароль). Если
администратор установит для пользователя этот флажок, то пользователь не
сможет самостоятельно сменить пароль и будет вынужден обратиться к
администратору. Такая ситуация необходима, если кроме этого пользователя
под тем же самым паролем работает еще кто-либо. В этом случае
администратор сможет известить второго пользователя о том, что пароль был
изменен.
О Password never expires (срок действия пароля не истекает). Установка
этого флажка позволяет избежать частой смены пароля пользователем.
О Account disabled (блокирование учетной записи). При установке этого
флажка учетная запись блокируется и не допускает регистрации в домене ни
хозяина учетной записи, ни кого-либо еще. Эта возможность часто
используется, если предполагается длительное отсутствие пользователя на
рабочем месте. Такой подход поможет избежать несанкционированного доступа к
ресурсам. Чтобы использовать учетные записи пользователей Windows 2000 для
запуска служб Server 2000, как и при конфигурировании учетных записей
Windows NT 4.0, им необходимо предоставить дополнительные права. В Windows
2000 управление правами осуществляется отдельно от управления учетными
записями. Для управления правами в пределах локального компьютера
используется оснастка Local Security Policy (рис. 7.6).
Для предоставления учетной записи необходимых прав выполните описанные
ниже действия.
1. В оснастке Local Security Policy выберите папку Local Policies.
2. В папке Local Policies выберите вложенную папку User Right Assignment.
В правой части окна будет выведен список прав, которые могут быть
присвоены пользователям.
3. Для присвоения пользователю того или иного права дважды щелкните на
названии права и в открывшемся диалоговом окне Local Security Policy
Settings (параметры локальной политики безопасности) щелкните на кнопе
Add (добавить), после чего выберите имя нужного пользователя.
Как и при работе с Windows NT, для того чтобы учетная запись Windows 2000
могла использоваться для запуска служб SQL Server 2000, ей необходимо
присвоить следующие права:
О Act as a part of the operating system (действовать как часть операционной
системы); О Log on as a service (регистрироваться в качестве службы
операционной системы);
О Increase quotas (право изменять квоты процессов);
О Replace a process level token (право заменять уровень маркера
процесса).
После того как все указанные права будут предоставлены учетной записи
(или всем учетным записям), которую предполагается использовать для
запуска служб SQL Server 2000, подготовку учетных записей можно считать
оконченной.
Выбор типа установки
При установке SQL Server 2000 в редакциях Enterprise, Standard, Personal
edition мастер установки предложит вам выбрать один из трех типов
установки. О Обычный тип установки (Typical). Устанавливаются заданные по
умолчанию компоненты. Такой тип установки рекомендуется для большинства
пользователей.
О Минимальный тип установки (Minimum). Устанавливается минимальная
конфигурация, нео
| |  скачать работу |
SQL Server 2000 |
