You have multiple accounts
Choose the account you want to sign in with.

簡介

Microsoft SQL Server 2005年安裝程式會建立本機的 Windows 群組,為每個您所安裝的服務。 SQL Server 2005 安裝程式會加入其各自的群組中的每個服務的服務帳戶。 對於 SQL Server 容錯移轉叢集安裝,Windows 網域群組用於相同的方式而定。 網域系統管理員在執行 SQL Server 2005 安裝程式之前,必須先建立這些網域群組。 每個 Windows 群組,會將所有的 Windows NT 權限和所需的特定服務的權限加入系統存取控制清單 (SACL)。網域系統管理員 」 不授予權限直接服務帳戶。

此外,您建立的 SQL Server 2005、 SQL Server 代理程式,以及的話群組的 Windows 群組,會授與 SQL Server 2005 會佈建在 SQL Server 2005 SYSADMIN 固定的伺服器角色的登入。 這項設定,讓這些群組的成員,才能使用 Windows NT 驗證連線登入 SQL Server 2005 任何帳戶。 使用者沒有在 SQL Server SYSADMIN 固定的伺服器角色的群組成員資格,因為使用者登入 SQL Server 2005 身為 SQL Server 2005 系統管理員。(使用者登入使用 sa 帳戶)。 然後,使用者具有無限制存取,SQL Server 2005 安裝,以及其資料。 此外,任何知道 SQL Server 2005 的執行個體,或 SQL Server 代理程式服務帳戶的密碼可以使用服務的使用者帳戶登入電腦。然後,使用者可以建立 Windows NT 驗證連線到 SQL Server 2005 SQL Server 系統管理員的身份。

您建立的 SQL Server 2005 報告服務 (SSRS),以及全文檢索搜尋服務的 Windows 群組也會授與 SQL Server 登入。 不過,報告服務 」 和 「 全文檢索搜尋服務會中並未提供待 SYSADMIN 固定的伺服器角色。

有些 SQL Server 2005 系統管理員想要的職能角色,和作業系統的系統管理員,以嚴格分隔的資料庫管理員。 這些系統管理員想要防止未經授權的存取,由作業系統的系統管理員中的 SQL Server 2005。

更多的資訊

如何對 SQL Server 2005,由系統管理員更難進行未經授權的存取

若要讓系統管理員的 SQL Server 2005 的未經授權的存取更加困難,您必須移除的話群組授與登入權限。然後,您必須授與直接以服務帳戶的登入 SQL Server 2005 和 SQL Server 代理程式。 接下來,您必須提供 SYSADMIN 固定的伺服器角色中的登入。最後,您必須刪除至其個別的 Windows 群組授與的登入。若要執行這項操作,請參考下列步驟:

  1. 請確定您擁有 SYSADMIN 固定的伺服器角色的成員的帳戶。這個帳戶未授只透過的話群組的成員與 SQL Server 2005 的登入權限。

  2. 移除的話群組授與登入權限。若要執行這項操作,請參考下列步驟:

    1. 使用具有 「 變更任何登入權限的使用者帳戶登入 SQL Server 2005。

    2. 展開 [安全性],展開 [登入的話,以滑鼠右鍵按一下,然後按一下刪除

    3. 在 [刪除物件] 對話方塊中,按一下[確定]

    注意刪除已授與的話群組的登入之後,任何只依賴此登入 SQL Server 2005 的群組中的成員資格的帳戶將不再能夠存取 SQL Server 2005。

    如需有關 Microsoft 叢集服務 」 (MSCS) 的服務帳戶的資訊,請參閱 「 Microsoft 叢集服務 (MSCS) 服務帳戶 」 一節。

  3. 使用具有明確地授與 SQL Server 2005 直接給 SQL Server 2005 和 SQL Server 代理程式會使用所使用的服務帳戶的登入的改變任何登入權限的帳戶。 若要這樣做,請執行下列的 SQL 陳述式。

    CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
  4. 使用帳戶所隸屬的系統管理員固定伺服器角色,提供您在步驟 2 中的系統管理員新增的登入固定伺服器角色。

    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'
  5. 使用已刪除至 SQL Server 2005 群組與 SQL Server 代理程式的 Windows 群組授與登入的改變任何登入權限的帳戶。

    DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]
    DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]

即使您依照這些步驟之後,SQL Server 2005 的服務帳戶和 SQL Server 代理程式服務帳戶的密碼都必須保密從作業系統的系統管理員。 如果 MSCS 的服務帳戶以 SYSADMIN 固定伺服器角色內提供了,MSCS 服務帳戶密碼都必須也保密從作業系統的系統管理員。 如果作業系統的系統管理員知道 SQL Server 2005 的服務帳戶或 SQL Server 代理程式服務帳戶的密碼,作業系統的系統管理員可以使用 「 服務 」 帳戶,登入電腦。作業系統的系統管理員登入電腦之後,作業系統的系統管理員可以連線到 SQL Server 2005 的執行個體,SQL Server 系統管理員的身份。

若要防止作業系統的系統管理員學習 SQL Server 2005 和 SQL Server 代理程式會使用服務帳戶的密碼,SQL Server 系統管理員必須能夠設定 「 服務 」 帳戶的新密碼。 在大部分的情況下,SQL Server 2005 系統管理員不是作業系統的系統管理員。 因此,必須撰寫特殊用途的公用程式,以提供這項功能。例如,您可以建立信任的服務,SQL Server 2005 系統管理員可以用來變更所使用的 SQL Server 2005 的服務帳戶的密碼。 Microsoft 目前不提供這項服務。

Microsoft 叢集服務 」 (MSCS) 服務帳戶

在 SQL Server 2005 容錯移轉叢集安裝中,MSCS 的服務帳戶會依賴登入 SQL Server 2005 執行 IsAlive 檢查的話群組的成員資格。 如果您是從容錯移轉叢集中移除的話群組,您必須明確授與 MSCS 服務帳戶權限登入 SQL Server 2005 的容錯移轉叢集。 若要這樣做,請執行下列的 SQL 陳述式的 SQL Server 2005 執行個體中。

CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]

SQL Server 2005 的 Service Pack 2 加入新的診斷功能,SQL Server 2005 容錯移轉叢集。 診斷叢集容錯移轉之前,自動擷取 SQL Server 2005 的叢集資源的狀態。 SQL Server 2005 資源動態連結程式庫 (DLL)] 會收集診斷更容易,這項資料,如下所示:

  • 在 SQL Server 2005 的資源開始在 MSCS 的服務帳戶的安全性內容下的 「 Sqlcmd.exe 」 公用程式的執行個體。 接著,SQL Server 2005 資源會執行 SQL 指令碼,透過範例不同的動態管理檢視 (DMV) 專用的系統管理員連線 (DAC)。

  • 叢集容錯移轉之前,SQL Server 2005 資源就會擷取 SQL Server 2005 的處理程序的使用者傾印檔案。

由於專用的管理員連接用來收集一些診斷的資料,則必須佈建 MSCS 的服務帳戶在 SYSADMIN 固定的伺服器角色。 如果您的組織的安全性作法,表示無法在 SYSADMIN 固定伺服器角色中佈建 MSCS 的服務帳戶,MSCS 的服務帳戶可以被授與 SQL Server 登入,並未提供待在 SYSADMIN 固定伺服器角色。 在這個案例中,因為 Sqlcmd.exe 公用程式無法登入 SQL Server 2005,通常會記錄 「 Sqlcmd.exe 」 公用程式診斷都將會失敗。 SQL Server 2005 資源 DLL 應該能夠收集使用者傾印檔案,無論是否 「 服務 」 帳戶的 SQL Server 2005 資源 DLL 已佈建在 SYSADMIN 固定伺服器角色。

如果您想要的選項,使用的是 SYSADMIN 固定伺服器角色的成員的帳戶登入 SQL Server 2005。然後,執行下列的 SQL 陳述式,將 MSCS 的服務帳戶新增至 SYSADMIN 固定的伺服器角色。

EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

如何變更服務帳戶

雖然上述的步驟可能會讓系統的操作系統管理員,才能連線到 SQL Server 2005 的難度,則 [先前的步驟進行變更服務帳戶,SQL Server 2005 和 SQL Server 代理程式上較為麻煩。若要變更服務帳戶,SQL Server 2005 和 SQL Server 代理程式,請依照下列步驟執行:

  1. 您可以將新的服務帳戶或服務帳戶加入 Windows 群組或您建立的 SQL Server 和 SQL Server 代理程式的群組。

  2. 使用具備改變任何登入在建立新的服務帳戶的 SQL Server 2005 登入的權限的帳戶。 若要這樣做,請執行下列的 SQL 陳述式從帳戶具有 「 變更任何登入權限。

    CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
  3. 使用已佈建 SYSADMIN 固定的伺服器角色,來執行下列的 SQL 陳述式中的帳戶。

    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'

    注意此陳述式會將 SQL Server 2005 的服務帳戶 」 和 「 SQL Server 代理程式服務帳戶加入至 SYSADMIN 固定伺服器角色。

  4. 使用 SQL Server 組態管理員,以變更適當的服務的服務帳戶。 若要執行這項操作,請參考下列步驟:

    1. 在 [SQL Server 組態管理員] 中,按一下 [ SQL Server 2005 的服務

    2. 以滑鼠右鍵按一下您想要修改的服務,然後按一下 [內容

    3. 按一下 [登入] 索引標籤,然後輸入您想要使用的服務的使用者帳戶資訊。

    4. 當您完成輸入帳號資訊,請按一下[確定]

    注意當您變更服務帳戶時,「 SQL Server 組態管理員 」 就會提示您重新啟動服務。

  5. 使用具有改變任何登入在刪除 SQL Server 2005 的服務帳戶和 SQL Server 代理程式服務帳戶所使用的登入的權限的帳戶。 若要這樣做,請執行下列的 SQL 陳述式。

    DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>]
    DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]

注意您沒有授與任何新的 Windows NT 權限或新的服務帳戶的權限,因為其個別的 Windows 群組,在步驟 1 中加入新的服務帳戶。

若要稽核程序的建議

如果您想要防止未經授權的存取,由作業系統的系統管理員中的 SQL Server,您也應該稽核下列處理程序:

  • 稽核啟動及停駐點的 Windows 架構的伺服器。

  • 稽核啟動和停止 SQL Server 2005 服務和 SQL Server 代理程式服務。

  • 稽核中的 SQL Server 資料庫檔案、 資料檔、 記錄檔及資料庫的備份檔案會儲存目錄的權限。

  • 稽核變更 SQL Server 2005 的服務帳戶與 SQL Server 代理程式服務帳戶。

  • 稽核網路登入名稱與電腦登入 SQL Server 2005 的服務帳戶、 SQL Server 代理程式服務帳戶,或 MSCS 的服務帳戶。

NT AUTHORITY\SYSTEM 帳戶

NT AUTHORITY\SYSTEM 帳戶也會授與 SQL Server 登入。 NT AUTHORITY\SYSTEM 帳戶已佈建 SYSADMIN 固定的伺服器角色中。 請勿刪除這個帳戶,或將它從 SYSADMIN 固定的伺服器角色移除。 「 NTAUTHORITY\SYSTEM 」 帳戶是 Microsoft 更新以及使用 Microsoft sms 套用至 SQL Server 2005 安裝的 service pack 和 hotfix。 SQL 寫入器服務也會使用 「 NTAUTHORITY\SYSTEM 」 帳戶。

此外,如果 SQL Server 2005 啟動在單一使用者模式中,任何具有的話群組中的成員資格的使用者可以連線到 SQL Server 2005 SQL Server 系統管理員的身份。 使用者可以連線無論是否的話群組已授與已佈建在 SYSADMIN 固定伺服器角色的伺服器登入。 此行為是系統設計的一部份。 這被特意要用於資料修復案例。

如需 SQL Server 2005 的安全性最佳作法的相關資訊,請參閱 SQL Server 2005 線上叢書 》 的 < 安全性考量的="" sql="" server="" 安裝=""> 主題。

參考

如需有關 SQL Server 安裝的安全性考量的詳細資訊,請造訪下列 Microsoft TechNet 網站:

http://technet.microsoft.com/en-us/library/ms144228.aspx

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

How satisfied are you with the translation quality?
What affected your experience?

Thank you for your feedback!

×