Artigo: 263712 - Última revisão: terça-feira, 15 de Setembro de 2009 - Revisão: 10.0

Como impedir os administradores do Windows NT de administrar uma instância do SQL Server em cluster

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaVer isenção de responsabilidades para tradução automática
Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Reduzir tudo

Sumário

Este artigo explica como pode prejudicar o Microsoft Windows os administradores de sistema de ter permissões de administrador do sistema no Microsoft SQL Server, Enterprise Edition.
Voltar ao topo

Mais Informação

Por predefinição, SQL Server 2005 e anterior do programa de configuração cria o início de sessão BUILTIN\Administradores e, em seguida, adiciona o início de sessão "Sysadmin" fixo a função de servidor. Esta alteração concede permissões de administrador para qualquer conta no grupo Administradores Local de sistema. Em alguns ambientes, poderá pretender impedir os administradores de sistema Microsoft Windows de ter este tipo de acesso ao SQL Server. Num computador autónomo que esteja a executar o SQL Server, pode remover o início de sessão BUILTIN\Administradores do SQL Server e limitar este tipo de acesso. Antes de remover BUILTIN\Administradores da função sysadmin, certifique-se de que pelo menos uma outra conta é um membro da função sysadmin.

Para obter mais informações, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
237604  (http://support.microsoft.com/kb/237604/ ) SQL Server Agent não é iniciado e apresenta erro 18456
291255  (http://support.microsoft.com/kb/291255/ ) Erro: Verificação IsAlive não é executado no contexto da conta BUILTIN\Administradores no SQL Server 2000 Enterprise Edition
295034  (http://support.microsoft.com/kb/295034/ ) CORRECÇÃO: O serviço Microsoft Search pode causar 100 % da CPU se BUILTIN\Administradores início de sessão é removido
274446  (http://support.microsoft.com/kb/274446/ ) Actualizar para o SQL Server 2000 activação pós-falha solução recomendada para todos os servidores virtuais não SQL Server 2000


Num cluster do SQL Server, pode remover o grupo BUILTIN\Administradores da função syadmin ou remove completamente os inícios de sessão se verifiquem as seguintes condições:
  • Tem de criar a conta do serviço de cluster como um início de sessão no SQL Server. Esta conta não é necessário ser um membro de "Sysadmin" fixo a função de servidor. Esta conta apenas tem de ser possível para ligar e efectuar a verificação de "IsAlive" que requer os membros a função pública na base de dados principal. Para o SQL Server 7.0 isto tem de ser feito antes de executar o 'Assistente de cluster'. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    291255  (http://support.microsoft.com/kb/291255/ ) Verificação de IsAlive não é executado no contexto da conta BUILTIN\Administradores no SQL Server 2000 Enterprise Edition
  • Tem de criar logins para as contas de serviço utilizadas para iniciar o SQL Server Agent e SQL Server e tornar esses membros contas de Sysadmin fixo a função de servidor. Para o SQL Server 7.0 isto tem de ser feito antes de executar o 'Assistente de cluster'.
  • Se o cluster do SQL Server estiver num computador que esteja a executar o Microsoft Windows 2000 e tiver o serviço de procura em texto completo, pode remover o grupo BUILTIN\Administradores se a conta NT AUTHORITY\SYSTEM for membro de Sysadmin fixo a função de servidor.
Nota O Assistente de cluster só existe no SQL Server 7.0. Por conseguinte, se estiver a utilizar o SQL Server 2000 ou SQL Server 2005, ignore as referências ao Assistente de cluster nestas condições.
Voltar ao topo

SQL Server 6.5 e SQL Server 7.0

Para impedir o acesso para administradores do Microsoft Windows NT como os administradores de sistema num cluster do SQL Server, siga estes passos:
  1. Adicione explicitamente a conta que está a ser utilizada para o serviço de cluster como um início de sessão do SQL Server. Tem de atribuir a função "Sysadmin" a este login.

    Nota Se o computador que esteja a executar o SQL Server é unclustered e, em seguida, reclustered, terá de repetir este processo.
  2. Remova o início de sessão BUILTIN\Administradores do computador com o SQL Server depois do Assistente de cluster de activação pós-falha de servidor SQL clusters com êxito a instalação do SQL Server.
Voltar ao topo

SQL Server 2000 e SQL Server 2005

Para impedir o acesso para administradores do Windows NT como os administradores de sistema num cluster do SQL Server, siga estes passos:
  1. Adicione explicitamente a conta que está a ser utilizada para o serviço de cluster como um início de sessão do SQL Server. Não é necessário atribuir a função "Sysadmin" a este login.
  2. Certifique-se de que existe pelo menos uma conta que é um membro da função sysadmin no SQL Server.
  3. Se uma procura em texto completo será utilizada no cluster, tem de adicionar a conta [autoridade NT\sistema] para "sysadmin" grupo o servidor. Por exemplo, pode utilizar o seguinte código de exemplo: 
    Grant [NT Authority\System] a login to SQL Server:
EXEC sp_grantlogin [NT Authority\System]
Add that account to the sysadmins role:
EXEC sp_addsrvrolemember @loginame = [NT Authority\System] 
, @rolename =  'sysadmin'
  4. Remove o início de sessão BUILTIN\Administradores do SQL Server depois de instalar o servidor virtual.
Para obter mais informações acerca de instâncias do SQL Server 2005, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
932881  (http://support.microsoft.com/kb/932881/ ) Como tornar o acesso indesejável ao SQL Server 2005 por um administrador de sistema operativo mais difíceis
Voltar ao topo
A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2000 Enterprise Edition
  • Microsoft SQL Server 7.0 Enterprise Edition
  • Microsoft SQL 2005 Server Enterprise
Voltar ao topo
Palavras-chave: 
kbmt kbsql2005cluster kbinfo KB263712 KbMtpt
Voltar ao topo
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 263712  (http://support.microsoft.com/kb/263712/en-us/ )
Voltar ao topo