Como impedir os administradores do Windows NT de administrar uma instância do SQL Server em cluster

Traduções de Artigos Traduções de Artigos
Artigo: 263712 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo explica como pode prejudicar o Microsoft Windows os administradores de sistema de ter permissões de administrador do sistema no Microsoft SQL Server, Enterprise Edition.

Mais Informação

Por predefinição, SQL Server 2005 e anterior do programa de configuração cria o início de sessão BUILTIN\Administradores e, em seguida, adiciona o início de sessão "Sysadmin" fixo a função de servidor. Esta alteração concede permissões de administrador para qualquer conta no grupo Administradores Local de sistema. Em alguns ambientes, poderá pretender impedir os administradores de sistema Microsoft Windows de ter este tipo de acesso ao SQL Server. Num computador autónomo que esteja a executar o SQL Server, pode remover o início de sessão BUILTIN\Administradores do SQL Server e limitar este tipo de acesso. Antes de remover BUILTIN\Administradores da função sysadmin, certifique-se de que pelo menos uma outra conta é um membro da função sysadmin.

Para obter mais informações, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
237604SQL Server Agent não é iniciado e apresenta erro 18456
291255Erro: Verificação IsAlive não é executado no contexto da conta BUILTIN\Administradores no SQL Server 2000 Enterprise Edition
295034CORRECÇÃO: O serviço Microsoft Search pode causar 100 % da CPU se BUILTIN\Administradores início de sessão é removido
274446Actualizar para o SQL Server 2000 activação pós-falha solução recomendada para todos os servidores virtuais não SQL Server 2000


Num cluster do SQL Server, pode remover o grupo BUILTIN\Administradores da função syadmin ou remove completamente os inícios de sessão se verifiquem as seguintes condições:
  • Tem de criar a conta do serviço de cluster como um início de sessão no SQL Server. Esta conta não é necessário ser um membro de "Sysadmin" fixo a função de servidor. Esta conta apenas tem de ser possível para ligar e efectuar a verificação de "IsAlive" que requer os membros a função pública na base de dados principal. Para o SQL Server 7.0 isto tem de ser feito antes de executar o 'Assistente de cluster'. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    291255Verificação de IsAlive não é executado no contexto da conta BUILTIN\Administradores no SQL Server 2000 Enterprise Edition
  • Tem de criar logins para as contas de serviço utilizadas para iniciar o SQL Server Agent e SQL Server e tornar esses membros contas de Sysadmin fixo a função de servidor. Para o SQL Server 7.0 isto tem de ser feito antes de executar o 'Assistente de cluster'.
  • Se o cluster do SQL Server estiver num computador que esteja a executar o Microsoft Windows 2000 e tiver o serviço de procura em texto completo, pode remover o grupo BUILTIN\Administradores se a conta NT AUTHORITY\SYSTEM for membro de Sysadmin fixo a função de servidor.
Nota O Assistente de cluster só existe no SQL Server 7.0. Por conseguinte, se estiver a utilizar o SQL Server 2000 ou SQL Server 2005, ignore as referências ao Assistente de cluster nestas condições.

SQL Server 6.5 e SQL Server 7.0

Para impedir o acesso para administradores do Microsoft Windows NT como os administradores de sistema num cluster do SQL Server, siga estes passos:
  1. Adicione explicitamente a conta que está a ser utilizada para o serviço de cluster como um início de sessão do SQL Server. Tem de atribuir a função "Sysadmin" a este login.

    Nota Se o computador que esteja a executar o SQL Server é unclustered e, em seguida, reclustered, terá de repetir este processo.
  2. Remova o início de sessão BUILTIN\Administradores do computador com o SQL Server depois do Assistente de cluster de activação pós-falha de servidor SQL clusters com êxito a instalação do SQL Server.

SQL Server 2000 e SQL Server 2005

Para impedir o acesso para administradores do Windows NT como os administradores de sistema num cluster do SQL Server, siga estes passos:
  1. Adicione explicitamente a conta que está a ser utilizada para o serviço de cluster como um início de sessão do SQL Server. Não é necessário atribuir a função "Sysadmin" a este login.
  2. Certifique-se de que existe pelo menos uma conta que é um membro da função sysadmin no SQL Server.
  3. Se uma procura em texto completo será utilizada no cluster, tem de adicionar a conta [autoridade NT\sistema] para "sysadmin" grupo o servidor. Por exemplo, pode utilizar o seguinte código de exemplo:
    Grant [NT Authority\System] a login to SQL Server:
    EXEC sp_grantlogin [NT Authority\System]
    Add that account to the sysadmins role:
    EXEC sp_addsrvrolemember @loginame = [NT Authority\System] 
    , @rolename =  'sysadmin'
    					
  4. Remove o início de sessão BUILTIN\Administradores do SQL Server depois de instalar o servidor virtual.
Para obter mais informações acerca de instâncias do SQL Server 2005, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
932881Como tornar o acesso indesejável ao SQL Server 2005 por um administrador de sistema operativo mais difíceis

Propriedades

Artigo: 263712 - Última revisão: 15 de setembro de 2009 - Revisão: 10.0
A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2000 Enterprise Edition
  • Microsoft SQL Server 7.0 Enterprise Edition
  • Microsoft SQL 2005 Server Enterprise
Palavras-chave: 
kbmt kbsql2005cluster kbinfo KB263712 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 263712

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com