Come impedire agli amministratori di Windows NT di amministrare un'istanza cluster di SQL Server

Traduzione articoli Traduzione articoli
Identificativo articolo: 263712 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene spiegato come è possibile impedire la Microsoft Windows agli amministratori di sistema di con autorizzazioni di amministratore di sistema di Microsoft SQL Server, Enterprise Edition.

Informazioni

Per impostazione predefinita, SQL Server 2005 e installazione precedente crea l'account di accesso BUILTIN\Administrators e quindi viene aggiunto l'account di accesso "Sysadmin" ruolo del server. Questa modifica concede sistema autorizzazioni di amministratore a qualsiasi account nel gruppo Local Administrators. In alcuni ambienti, si desidera impedire agli amministratori di sistema Microsoft Windows evitare questo tipo di accesso a SQL Server. In un computer autonomo che esegue SQL Server, si può rimuovere l'accesso BUILTIN\Administrators da SQL Server e limitare questo tipo di accesso. Prima di è possibile rimuovere BUILTIN\Administrators dal ruolo sysadmin, assicurarsi che almeno un altro account sia membro del ruolo sysadmin.

Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
237604Agente SQL Server non viene avviato e verrà visualizzato il messaggio di errore 18456
291255BUG: Controllo IsAlive non eseguiti nel contesto dell'account BUILTIN\Administrators in SQL Server 2000 Enterprise Edition
295034FIX: Servizio Microsoft Search può causare CPU del 100 % se l'account di accesso BUILTIN\Administrators viene rimosso
274446L'aggiornamento a soluzione di failover di SQL Server 2000 consigliata per tutti i server virtuali non SQL Server 2000


In un cluster di SQL Server, è possibile rimuovere il gruppo BUILTIN\Administrators dal ruolo syadmin o rimuoverlo completamente dagli account di accesso se le seguenti condizioni sono true:
  • È necessario creare l'account del servizio cluster come account di accesso in SQL Server. Questo account non è necessario essere un membro di "Sysadmin" ruolo del server. Solo questo account deve essere in grado di connettersi e per eseguire il controllo "IsAlive" che richiede l'appartenenza al pubblico ruolo nel database master. Per SQL Server 7.0 deve essere effettuata prima di eseguire la "Creazione guidata cluster". Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    291255Controllo IsAlive non eseguiti nel contesto dell'account BUILTIN\Administrators in SQL Server 2000 Enterprise Edition
  • È necessario creare account di accesso per gli account di servizio utilizzati per avviare Agente SQL Server e SQL Server e rendere questi account membri del ruolo del server Sysadmin. Per SQL Server 7.0 deve essere effettuata prima di eseguire la "Creazione guidata cluster".
  • Se il cluster di SQL Server si trova su un computer che esegue Microsoft Windows 2000 e si esegue il servizio di ricerca full-text, è possibile rimuovere il gruppo BUILTIN\Administrators se l'account NT AUTHORITY\SYSTEM è un membro del ruolo del server Sysadmin.
Nota La creazione guidata cluster esiste solo in SQL Server 7.0. Di conseguenza, se si utilizza SQL Server 2000 o SQL Server 2005, ignorare i riferimenti alla creazione guidata cluster in queste condizioni.

SQL Server 6.5 e SQL Server 7.0

Per impedire l'accesso per amministratori di Microsoft Windows NT come gli amministratori di sistema in un cluster di SQL Server, attenersi alla seguente procedura:
  1. Aggiungere in modo esplicito l'account che viene utilizzato per il servizio cluster come un account di accesso di SQL Server. È necessario assegnare al ruolo "Sysadmin" a questo account di accesso.

    Nota Se il computer che esegue SQL Server è unclustered e quindi nuovo configurate a cluster, è necessario ripetere questo processo.
  2. Rimuovere l'accesso BUILTIN\Administrators dal computer che esegue SQL Server dopo la procedura guidata di SQL Server Failover Cluster cluster correttamente l'installazione di SQL Server.

SQL Server 2000 e SQL Server 2005

Per impedire l'accesso per gli amministratori Windows come gli amministratori di sistema in un cluster di SQL Server, attenersi alla seguente procedura:
  1. Aggiungere in modo esplicito l'account che viene utilizzato per il servizio cluster come un account di accesso di SQL Server. Non è necessario assegnare al ruolo "Sysadmin" a questo login.
  2. Assicurarsi che vi sia almeno un account che sia membro del ruolo sysadmin in SQL Server.
  3. Se una ricerca full-text verrà utilizzata nel cluster, è necessario aggiungere l'account [NT AUTHORITY\SYSTEM] al gruppo "sysadmin" del server. Ad esempio, è possibile utilizzare il codice di esempio riportato di seguito:
    Grant [NT Authority\System] a login to SQL Server:
    EXEC sp_grantlogin [NT Authority\System]
    Add that account to the sysadmins role:
    EXEC sp_addsrvrolemember @loginame = [NT Authority\System] 
    , @rolename =  'sysadmin'
    					
  4. Rimuovere l'accesso BUILTIN\Administrators da SQL Server dopo aver installato il server virtuale.
Per ulteriori informazioni sulle istanze di SQL Server 2005, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
932881Come rendere più difficile accesso non autorizzato a SQL Server 2005 da un amministratore del sistema operativo

Proprietà

Identificativo articolo: 263712 - Ultima modifica: martedì 15 settembre 2009 - Revisione: 10.0
Le informazioni in questo articolo si applicano a:
  • Microsoft SQL Server 2000 Enterprise Edition
  • Microsoft SQL Server 7.0 Enterprise Edition
  • Microsoft SQL Server 2005 Enterprise Edition
Chiavi: 
kbmt kbsql2005cluster kbinfo KB263712 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 263712
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com