Como impedir os administradores do Windows NT de administração de uma instância em cluster do SQL Server

Traduções deste artigo Traduções deste artigo
ID do artigo: 263712 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo explica como você pode impedir o Microsoft Windows administradores de sistema de ter permissões de administrador de sistema no Microsoft SQL Server, Enterprise Edition.

Mais Informações

Por padrão, SQL Server 2005 e instalação anterior cria o logon BUILTIN\Administradores e, em seguida, adiciona o logon para a função de servidor fixa "sysadmin". Essa alteração concede permissões de administrador para qualquer conta no grupo Local Administradores de sistema. Em alguns ambientes, talvez queira impedir administradores do sistema Microsoft Windows de ter esse tipo de acesso ao SQL Server. Em um computador autônomo que está executando o SQL Server, você pode remover o logon BUILTIN\Administrators do SQL Server e limitar esse tipo de acesso. Antes de remover BUILTIN\Administrators da função sysadmin, certifique-se de que pelo menos uma outra conta é membro da função sysadmin.

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
237604SQL Server Agent não é iniciado e exibe o Erro 18456
291255Erro: A seleção de IsAlive não é executado no contexto da conta BUILTIN\Administrators no SQL Server 2000 Enterprise Edition
295034CORRECÇÃO: O serviço de pesquisa da Microsoft pode causar 100 % da CPU se o logon BUILTIN\Administradores é removido
274446Atualizar a solução de failover do SQL Server 2000 recomendada para todos os servidores virtuais não SQL Server 2000


Em um cluster SQL Server, você pode remover o grupo BUILTIN\Administradores da função syadmin ou removê-lo completamente dos logins se as seguintes condições forem verdadeiras:
  • Você deve criar a conta do serviço cluster como um login no SQL Server. Essa conta não precisa ser um membro de "sysadmin" função de servidor fixa. Essa conta precisa apenas ser capaz de se conectar e fazer a verificação "IsAlive" que requer a participação na função pública no banco de dados mestre. Para o SQL Server 7.0 isso deve ser feito antes de executar o "Assistente de cluster". Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    291255Seleção de IsAlive não é executado no contexto da conta BUILTIN\Administrators no SQL Server 2000 Enterprise Edition
  • Você deve criar logons para as contas de serviço utilizadas para iniciar o SQL Server Agent e SQL Server e tornar esses membros de contas de Sysadmin função de servidor fixa. Para o SQL Server 7.0 isso deve ser feito antes de executar o "Assistente de cluster".
  • Se o cluster do SQL Server estiver em um computador que está executando o Microsoft Windows 2000 e você estiver executando o serviço de pesquisa de texto completo, você pode remover o grupo BUILTIN\Administradores se a conta Autoridade NT\Sistema é um membro de Sysadmin função de servidor fixa.
Observação O Assistente de cluster existe somente no SQL Server 7.0. Portanto, se você estiver usando o SQL Server 2000 ou SQL Server 2005, ignore as referências para o Assistente de cluster nessas condições.

SQL Server 6.5 e SQL Server 7.0

Para impedir o acesso para administradores do Microsoft Windows NT como administradores de sistema em um cluster do SQL Server, execute estas etapas:
  1. Adicione explicitamente a conta que está sendo usada para o serviço de cluster como um login do SQL Server. Você deve atribuir a função de "Sysadmin" para esse logon.

    Observação Se o computador que está executando o SQL Server é unclustered e, em seguida, reclustered, você deverá repetir esse processo.
  2. Remova o logon BUILTIN\Administradores do computador que está executando o SQL Server após o Assistente de cluster de Failover do SQL Server clusters com êxito a instalação do SQL Server.

SQL Server 2000 e SQL Server 2005

Para impedir o acesso para administradores do Windows NT como administradores de sistema em um cluster do SQL Server, execute estas etapas:
  1. Adicione explicitamente a conta que está sendo usada para o serviço de cluster como um login do SQL Server. Você não precisa atribuir a função "Sysadmin" para esse logon.
  2. Verifique se que há pelo menos uma conta que seja membro da função sysadmin no SQL Server.
  3. Se uma pesquisa de texto completo será usada no cluster, você deve adicionar a conta [NT AUTHORITY\SYSTEM] ao grupo de "sysadmin" do servidor. Por exemplo, você pode usar o seguinte código de exemplo:
    Grant [NT Authority\System] a login to SQL Server:
    EXEC sp_grantlogin [NT Authority\System]
    Add that account to the sysadmins role:
    EXEC sp_addsrvrolemember @loginame = [NT Authority\System] 
    , @rolename =  'sysadmin'
    					
  4. Remova o logon BUILTIN\Administrators do SQL Server depois de instalar o servidor virtual.
Para obter mais informações sobre as instâncias do SQL Server 2005, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
932881Como tornar mais difícil acesso indesejado para o SQL Server 2005 por um administrador de sistema operacional

Propriedades

ID do artigo: 263712 - Última revisão: terça-feira, 15 de setembro de 2009 - Revisão: 10.0
A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2000 Enterprise Edition
  • Microsoft SQL Server 7.0 Enterprise Edition
  • Microsoft SQL Server 2005 Enterprise Edition
Palavras-chave: 
kbmt kbsql2005cluster kbinfo KB263712 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 263712

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com