Wie Sie Windows NT-Administratoren aus verwalten eine gruppierte Instanz von SQL Server beeinträchtigen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 263712 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt, wie Sie Microsoft Windows beeinträchtigen können Systemadministratoren erspart System Administrator Berechtigungen in Microsoft SQL Server Enterprise Edition.

Weitere Informationen

Standardmäßig die frühere Installation von SQL Server 2005 und erstellt die VORDEFINIERT\Administratoren, und fügt dann der Benutzername der festen Serverrolle "Sysadmin" hinzu. Diese Änderung gewährt System Administrator Berechtigungen beliebigen Konto in der Local Administrators-Gruppe. In manchen Umgebungen möchten möglicherweise Microsoft Windows-Systemadministratoren müssen Sie diese Art von Zugriff auf SQL Server beeinträchtigen. Auf einem eigenständigen Computer, auf dem SQL Server ausgeführt wird, können Sie entfernen die BUILTIN\Administrators von SQL Server und beschränken diese Art des Zugriffs. Bevor Sie VORDEFINIERT\Administratoren aus der Sysadmin-Rolle entfernen, stellen Sie sicher, dass mindestens ein Konto ein Mitglied der Sysadmin-Rolle ist.

Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
237604SQL Server-Agent nicht gestartet und zeigt Fehler 18456
291255Fehler: Lebenszyklusprüfung (IsAlive) wird nicht im Kontext des Kontos VORDEFINIERT\Administratoren in SQL Server 2000 Enterprise Edition ausgeführt.
295034Update: Microsoft Search-Dienst kann 100 % CPU-Auslastung verursachen, wenn VORDEFINIERT\Administratoren entfernt wird
274446Aktualisieren Sie auf SQL Server 2000-Failover-Lösung empfohlen für alle nicht-SQL Server 2000 virtual Server


Auf einem SQL Server-Cluster können die Gruppe VORDEFINIERT\Administratoren aus der Rolle sysadmin zu entfernen oder daraus entfernen vollständig die Anmeldungen Wenn folgenden Bedingungen erfüllt sind:
  • Sie müssen das Clusterdienstkonto als Anmeldekonto in SQL Server erstellen. Dieses Konto muss kein Mitglied der festen Serverrolle "Sysadmin" sein. Dieses Konto muss nur um eine Verbindung herstellen und "Lebenszyklusprüfung" führen Sie die Mitgliedschaft in der public-Rolle in der master-Datenbank benötigt. Für SQL Server 7.0 muss dies vor dem Ausführen von "Cluster Wizard". Weitere Informationen finden Sie die folgende KB-Artikelnummer:
    291255Lebenszyklusprüfung (IsAlive) wird nicht im Kontext des Kontos VORDEFINIERT\Administratoren in SQL Server 2000 Enterprise Edition ausgeführt.
  • Sie müssen die Benutzernamen für die Dienstkonten zum Starten von SQL Server-Agent und SQL Server und stellen diese Konten Mitglieder der festen Serverrolle Sysadmin verwendet erstellen. Für SQL Server 7.0 muss dies vor dem Ausführen von "Cluster Wizard".
  • Wenn der SQL Server-Cluster auf einem Computer mit Microsoft Windows 2000 ist, und Sie den Volltext-Suchdienst ausgeführt werden, können Sie die Gruppe VORDEFINIERT\Administratoren entfernen, wenn das Konto NT-AUTORITÄT\SYSTEM ein Mitglied der festen Serverrolle Sysadmin ist.
Hinweis: Der Cluster-Assistent ist nur in SQL Server 7.0 vorhanden. Wenn Sie SQL Server 2000 oder SQL Server 2005 verwenden, ignorieren Sie daher die Verweise auf den Cluster-Assistenten in diese Bedingungen.

SQL Server 6.5 und SQL Server 7.0

Gehen Sie folgendermaßen vor, um Zugriff für Microsoft Windows NT-Administratoren als Systemadministratoren auf ein SQL Server-Cluster zu beeinträchtigen,
  1. Fügen Sie explizit das Konto, das als SQL Server-Benutzername für den Clusterdienst verwendet wird. Sie müssen diese Anmeldung die Rolle "Sysadmin" zuweisen.

    Hinweis: Wenn der Computer, auf dem SQL Server ausgeführt wird, wird unclustered und dann reclustered, müssen Sie diesen Vorgang wiederholen.
  2. Entfernen Sie die VORDEFINIERT\Administratoren aus dem Computer, auf dem SQL Server ausgeführt wird, nachdem der SQL Server-Failover-Cluster-Assistent die SQL Server-Installation erfolgreich Cluster.

SQLServer 2000 und SQLServer 2005

Gehen Sie folgendermaßen vor, um Zugriff für Windows NT-Administratoren als Systemadministratoren auf ein SQL Server-Cluster zu beeinträchtigen,
  1. Fügen Sie explizit das Konto, das als SQL Server-Benutzername für den Clusterdienst verwendet wird. Sie müssen diese Anmeldung die Rolle "Sysadmin" zuweisen.
  2. Stellen Sie sicher, dass mindestens ein Konto, das Mitglied der Sysadmin-Rolle in SQL Server ist ist.
  3. Wenn eine Volltextsuche auf dem Cluster verwendet werden, müssen Sie das Konto [NT-AUTORITÄT\SYSTEM] "Sysadmin"-Servergruppe hinzufügen. Beispielsweise können Sie den folgenden Beispielcode verwenden:
    Grant [NT Authority\System] a login to SQL Server:
    EXEC sp_grantlogin [NT Authority\System]
    Add that account to the sysadmins role:
    EXEC sp_addsrvrolemember @loginame = [NT Authority\System] 
    , @rolename =  'sysadmin'
    					
  4. Entfernen Sie die BUILTIN\Administrators von SQL Server, nachdem Sie den virtuellen Server installiert.
Weitere Informationen zu Instanzen von SQL Server 2005 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
932881Wie Sie unerwünschten Zugriff auf SQL Server 2005 durch den Administrator Betriebssystem schwieriger machen

Eigenschaften

Artikel-ID: 263712 - Geändert am: Dienstag, 15. September 2009 - Version: 10.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 2000 Enterprise Edition
  • Microsoft SQL Server 7.0 Enterprise Edition
  • Microsoft SQL Server 2005 Enterprise Edition
Keywords: 
kbmt kbsql2005cluster kbinfo KB263712 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 263712
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com