Comment faire pour empêcher les administrateurs Windows NT d'administrer une instance organisée en clusters de SQL Server

Traductions disponibles Traductions disponibles
Numéro d'article: 263712 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article explique comment vous pouvez entraver Microsoft Windows d'avoir des autorisations d'administrateur système dans Microsoft SQL Server, Édition entreprise, les administrateurs système.

Plus d'informations

Par défaut, SQL Server 2005 et le programme d'installation antérieure crée la connexion BUILTIN\Administrateurs et puis ajoute la connexion d'accès au rôle de serveur fixe «Sysadmin». Cette modification accorde système autorisations d'administrateur à n'importe quel compte dans le groupe Local Administrators. Dans certains environnements, vous pouvez souhaiter empêcher les administrateurs système de Microsoft Windows d'avoir ce type d'accès à SQL Server. Un ordinateur autonome qui exécute SQL Server, permet de supprimer la connexion BUILTIN\Administrateurs de SQL Server et de limiter ce type d'accès. Avant de supprimer BUILTIN\Administrators du rôle sysadmin, assurez-vous qu'au moins un autre compte est un membre du rôle sysadmin.

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la base de connaissances Microsoft :
237604L'Agent SQL Server ne démarre pas et affiche l'erreur 18456
291255BOGUE : Vérification IsAlive ne fonctionne pas sous le contexte du compte BUILTIN\Administrators dans SQL Server 2000 Enterprise Edition
295034CORRECTIF : Les Service Microsoft Search peut provoquer l'utilisation du processeur de 100 % si connexion BUILTIN\Administrateurs est supprimée
274446Mise à niveau vers la solution de basculement SQL Server 2000 recommandée pour tous les serveurs virtuels SQL Server 2000


Sur un cluster SQL Server, vous pouvez supprimer le groupe BUILTIN\Administrators du rôle sysadmin ou le supprimer totalement les connexions d'accès si les conditions suivantes sont trues :
  • Vous devez créer le compte de service de cluster en tant que connexion dans SQL Server. Ce compte ne devrez pas être membre du rôle de serveur fixe «Sysadmin». Ce compte doit simplement afin de pouvoir se connecter et d'effectuer la vérification "IsAlive" qui nécessite l'appartenance au rôle public dans la base de données master. Pour SQL Server 7.0 vous devez le faire avant d'exécuter l'Assistant «cluster». Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
    291255Contrôle IsAlive ne fonctionne pas sous le contexte du compte BUILTIN\Administrators dans SQL Server 2000 Enterprise Edition
  • Vous devez créer des connexions d'accès pour les comptes de service utilisés pour démarrer l'Agent SQL Server et SQL Server et rendre ces comptes les membres du Sysadmin rôle de serveur fixe. Pour SQL Server 7.0 vous devez le faire avant d'exécuter l'Assistant «cluster».
  • Si le cluster SQL Server est un ordinateur qui exécute Microsoft Windows 2000 et si vous exécutez le service de recherche de texte intégral, vous pouvez supprimer le groupe BUILTIN\Administrateurs si le compte NT AUTHORITY\SYSTEM est membre de Sysadmin rôle de serveur fixé.
Remarque L'Assistant Cluster existe uniquement dans SQL Server 7.0. Par conséquent, si vous utilisez SQL Server 2000 ou SQL Server 2005, ignore les références à l'Assistant cluster dans ces conditions.

SQL Server 6.5 et SQL Server 7.0

Entraver l'accès pour les administrateurs de Microsoft Windows NT en tant qu'administrateurs système sur un cluster SQL Server, procédez comme suit :
  1. Explicitement ajouter le compte est utilisé pour le service de cluster comme une connexion SQL Server. Vous devez attribuer le rôle «Sysadmin» à ce login.

    Remarque Si l'ordinateur qui exécute SQL Server est non clusterisée et puis réorganisées en clusters, vous devez répéter ce processus.
  2. Supprimer la connexion BUILTIN\Administrateurs de l'ordinateur qui exécute SQL Server une fois l'Assistant cluster de basculement SQL Server clusters avec succès l'installation de SQL Server.

SQL Server 2000 et SQL Server 2005

Entraver l'accès pour les administrateurs Windows NT en tant qu'administrateurs système sur un cluster SQL Server, procédez comme suit :
  1. Explicitement ajouter le compte est utilisé pour le service de cluster comme une connexion SQL Server. Il est inutile d'attribuer le rôle «Sysadmin» à cette connexion d'accès.
  2. Assurez-vous qu'il est au moins un autre compte qui est membre du rôle sysadmin dans SQL Server.
  3. Si une recherche de texte intégral doit être utilisée sur le cluster, vous devez ajouter le compte [NT Authority\System] au groupe des «sysadmin» du serveur. Par exemple, vous pouvez utiliser l'exemple de code suivant :
    Grant [NT Authority\System] a login to SQL Server:
    EXEC sp_grantlogin [NT Authority\System]
    Add that account to the sysadmins role:
    EXEC sp_addsrvrolemember @loginame = [NT Authority\System] 
    , @rolename =  'sysadmin'
    					
  4. Supprimer la connexion BUILTIN\Administrateurs de SQL Server après avoir installé le serveur virtuel.
Pour plus d'informations sur les instances de SQL Server 2005, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
932881Comment rendre plus difficile tout accès indésirable à SQL Server 2005 par un administrateur de système d'exploitation

Propriétés

Numéro d'article: 263712 - Dernière mise à jour: mardi 15 septembre 2009 - Version: 10.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft SQL Server 2000 Édition Entreprise
  • Microsoft SQL Server 7.0 Édition Entreprise
  • Microsoft SQL Server 2005 Enterprise Edition
Mots-clés : 
kbmt kbsql2005cluster kbinfo KB263712 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 263712
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com