Cómo impedir que los administradores de Windows NT administren un servidor SQL Server agrupado

Id. de artículo: 263712 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E263712
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se explica cómo puede impedir que los administradores del sistema de Microsoft Windows tengan permisos de administrador del sistema en Microsoft SQL Server, Enterprise Edition.
Volver al principio | Enviar comentarios

Más información

De forma predeterminada, el programa de instalación de SQL Server crea el inicio de sesión BUILTIN\Administrators y, a continuación, lo agrega a la función fija de servidor "Sysadmin". Este cambio concede permisos de administrador del sistema a cualquier cuenta del grupo local Administradores. En algunos entornos, puede que no desee permitir que los administradores del sistema de Microsoft Windows tengan este tipo de acceso a SQL Server. En un equipo independiente que ejecute SQL Server, puede quitar el inicio de sesión BUILTIN\Administrators de SQL Server y limitar este tipo de acceso.

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
237604
(http://support.microsoft.com/kb/237604/ )
El Agente SQL Server no se inicia y muestra el error 18456
291255
(http://support.microsoft.com/kb/291255/ )
ERROR: La comprobación IsAlive no se ejecuta bajo el contexto de una cuenta BUILTIN\Administradores en SQL Server 2000 Enterprise Edition
295034
(http://support.microsoft.com/kb/295034/ )
REVISIÓN: El servicio Microsoft Search puede causar un uso del 100% de la CPU si se quita el inicio de sesión BUILTIN\Administradores
274446
(http://support.microsoft.com/kb/274446/ )
Actualizar a la solución de conmutación por error de SQL Server 2000 recomendada para todos los servidores virtuales que no sean SQL Server 2000


En un clúster de SQL Server, puede quitar el grupo BUILTIN\Administrators si se cumplen las condiciones siguientes:
  • Antes de ejecutar el Asistente para clúster, debe crear la cuenta de servicio del clúster como un inicio de sesión en SQL Server. Esta cuenta no necesita ser miembro de la función fija de servidor "Sysadmin". Esta cuenta sólo tiene que poder conectarse y realizar la comprobación de "IsAlive".

    Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    291255
    (http://support.microsoft.com/kb/291255/ )
    ERROR: La comprobación IsAlive no se ejecuta bajo el contexto de una cuenta BUILTIN\Administradores en SQL Server 2000 Enterprise Edition
  • Antes de ejecutar el Asistente para clúster, debe crear las cuentas de servicio para el Agente SQL Server y para SQL Server, y debe hacer que estas cuentas sean miembros de la función fija de servidor Sysadmin.
  • Si el clúster de SQL Server está en un equipo que ejecuta Microsoft Windows 2000 y ejecuta una búsqueda de texto, puede quitar el grupo BUILTIN\Administrators si la cuenta NT Authority\System es miembro de la función fija de servidor Sysadmin.
Nota: el Asistente para clúster sólo existe en SQL Server 7.0. Por consiguiente, si utiliza SQL Server 2000 o SQL Server 2005, omita las referencias al Asistente para clúster en estas condiciones.

SQL Server 6.5 y SQL Server 7.0

Para limitar el acceso para el grupo Administradores de Microsoft Windows NT como administradores del sistema en un clúster de SQL Server, siga estos pasos:
  1. Agregue explícitamente la cuenta que se utiliza para el servicio de clúster como inicio de sesión de SQL Server. Debe asignar la función "Sysadmin" a este inicio de sesión.

    Nota: si el equipo que ejecuta SQL Server se quita del clúster y después de vuelve a incluir, debe repetir este proceso.
  2. Quite el inicio de sesión BUILTIN\Administrators del equipo que ejecuta SQL Server después de que el Asistente para conmutación por error de SQL Server organice en clúster correctamente la instalación de SQL Server.

SQL Server 2000 y SQL Server 2005

Para limitar el acceso del grupo Administradores de Windows NT como administradores del sistema en un clúster de SQL Server, siga estos pasos:
  1. Agregue explícitamente la cuenta que se utiliza para el servicio de clúster como inicio de sesión de SQL Server. No necesita asignar la función "Sysadmin" a este inicio de sesión.
  2. Si se va a usar una búsqueda de texto en el clúster, debe agregar la cuenta [NT Authority\System] al grupo "sysadmin" del servidor. Por ejemplo, puede utilizar el código de ejemplo siguiente: 
    Grant [NT Authority\System] a login to SQL Server:
EXEC sp_grantlogin [NT Authority\System]
Add that account to the sysadmins role:
EXEC sp_addsrvrolemember @loginame = [NT Authority\System] 
, @rolename =  'sysadmin'
  3. Quite el inicio de sesión BUILTIN\Administrators de SQL Server después de instalar el servidor virtual.
Volver al principio | Enviar comentarios

Propiedades

Id. de artículo: 263712 - Última revisión: martes, 22 de mayo de 2007 - Versión: 7.0
La información de este artículo se refiere a:
  • Microsoft SQL Server 2000 Enterprise Edition
  • Microsoft SQL Server 7.0 Enterprise Edition
  • Microsoft SQL Server 2005 Enterprise Edition
Palabras clave: 
kbsql2005cluster kbinfo KB263712
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio