كيف يمكن جعل الوصول غير المرغوب فيه في SQL Server 2005 بواسطة مسؤول نظام التشغيل من الصعوبة

ترجمات الموضوعات ترجمات الموضوعات
معرف المقالة: 932881 - عرض المنتجات التي تنطبق عليها هذه المقالة.
توسيع الكل | طي الكل

في هذه الصفحة

مقدمة حول

برنامج إعداد Microsoft SQL Server 2005 بإنشاء مجموعة Windows محلي لكل خدمة تثبيت. يضيف برنامج إعداد SQL Server 2005 حساب الخدمة لكل خدمة من خدمات إلى مجموعة الخاص به. للحصول على تثبيت نظام مجموعة تجاوز فشل SQL Server يتم استخدام مجموعات نطاق Windows بنفس الطريقة. يجب إنشاء مجموعات المجال هذه من قبل مسؤول مجال قبل تشغيل برنامج إعداد SQL Server 2005. كافة الحقوق Windows NT والأذونات المطلوبة من قبل خدمة معينة يتم إضافة بواسطة قائمة التحكم بالوصول للنظام (SACL) إلى كل مجموعة Windows. لا يمنح مسؤول المجال الأذونات مباشرة إلى حساب الخدمة.

بالإضافة إلى ذلك، يتم منح مجموعات Windows التي قمت بإنشائها لـ SQL Server 2005 لعامل SQL Server و لمجموعة BUILTIN\Administrators تسجيلات دخول SQL Server 2005 التي يتم توفيرها في دور خادم ثابت SQL Server 2005 SYSADMIN. يجعل هذا التكوين من الممكن أي حساب يكون عضواً من هذه المجموعات لتسجيل الدخول إلى SQL Server 2005 باستخدام اتصال مصادقة Windows NT. بسبب المستخدم من عضوية مجموعة في دور خادم ثابت SQL Server SYSADMIN تسجيل المستخدم في SQL Server 2005 كمسؤول أنظمة SQL Server 2005. (للمستخدم يتم تسجيل الدخول باستخدام حساب sa). ثم المستخدم لديه وصول غير مقيد إلى تثبيت SQL Server 2005 و البيانات الخاصة به. أيضاً، حساب المستخدم الذي يعرف كلمة المرور لمثيل SQL Server 2005 أو حساب خدمة SQL Server عامل يمكن استخدام الخدمة تسجيل الدخول إلى الكمبيوتر. ثم يمكن للمستخدم إجراء اتصال مصادقة Windows NT بـ SQL Server 2005 كمسؤول SQL Server.

يتم أيضاً منح مجموعات Windows التي قمت بإنشائها لـ SQL Server 2005 التقرير خدمات (SSRS) "و" خدمة البحث عن نص كامل تسجيلات دخول SQL Server. ومع ذلك، خدمات التقارير "و" خدمة البحث عن نص كامل يتم لم توفير في دور مسؤول النظام الملقم ثابتة.

تحتاج بعض المسؤولين SQL Server 2005 الأدوار الوظيفية من مسؤول قاعدة البيانات "و" مسؤول نظام التشغيل أن تكون مفصولة التام. يرغب المسؤولون عن هذه الحماية SQL Server 2005 من الوصول غير المرغوب فيه من قبل مسؤول نظام التشغيل.

معلومات أخرى

كيف يمكن جعل الوصول غير المرغوب فيه في SQL Server 2005 بواسطة مسؤول نظام التشغيل من الصعوبة

تجعل الوصول غير المرغوب فيه إلى SQL Server 2005 بواسطة مسؤول نظام التشغيل أكثر صعوبة ، يجب عليك إزالة الأذونات تسجيل الدخول التي كانت ممنوحة للمجموعة BUILTIN\Administrators. ثم، يجب منح تسجيلات الدخول مباشرة إلى حسابات الخدمة لـ SQL Server 2005 ومن أجل عامل ملقم SQL. بعد ذلك، يجب توفير عمليات تسجيل الدخول في دور مسؤول النظام الملقم ثابتة. وأخيراً، يجب حذف تسجيلات الدخول التي تم منحها إلى مجموعات Windows الخاص بهم. للقيام بذلك، اتبع الخطوات التالية:
  1. تأكد من أن لديك حساب يكون عضواً دور مسؤول النظام الملقم ثابتة. عدم منح هذا الحساب إذن تسجيل دخول SQL Server 2005 قبل أن يكون عضوًا مجموعة BUILTIN\Administrators فقط.
  2. إزالة الأذونات تسجيل الدخول التي كانت ممنوحة للمجموعة BUILTIN\Administrators. للقيام بذلك، اتبع الخطوات التالية:
    1. قم بتسجيل الدخول إلى SQL Server 2005 باستخدام حساب مستخدم له إذن ALTER أية تسجيل الدخول.
    2. قم بتوسيع الأمان توسيع Logins انقر بزر الماوس الأيمن فوق BUILTIN\Administrators ومن ثم انقر فوق حذف.
    3. في مربع الحوار حذف كائن انقر فوق "موافق".
    ملاحظة بعد حذف تسجيل الدخول التي تم منحها إلى المجموعة BUILTIN\Administrators أي حساب يعتمد فقط على عضوية هذه المجموعة تسجيل الدخول إلى SQL Server 2005 لن قادراً على الوصول إلى SQL Server 2005.

    للحصول على معلومات حول حساب خدمة خدمة نظام المجموعة لـ Microsoft "(MSCS) ، راجع قسم"حساب خدمة خدمة نظام المجموعة Microsoft (MSCS)".
  3. استخدام حساب لديه إذن ALTER تسجيل الدخول أية لمنح تسجيلات دخول SQL Server 2005 مباشرة إلى حسابات الخدمة التي يتم استخدامها بواسطة SQL Server 2005 عامل ملقم SQL بشكل صريح. للقيام بذلك، قم بتنفيذ عبارة SQL التالية.
    CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  4. استخدام حساب يكون عضواً من مسؤول النظام SYSADMIN إصلاح دور خادم توفير عمليات تسجيل الدخول الذي قمت بإضافته في الخطوة 2 في مسؤول النظام SYSADMIN إصلاح دور خادم.
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
  5. استخدام حساب لديه إذن ALTER أية تسجيل الدخول إلى حذف تسجيلات الدخول التي تم منحها إلى المجموعة SQL Server 2005 و مجموعة Windows عامل ملقم SQL.
    DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]
    DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]
    
حتى بعد اتباع هذه الخطوات، كلمة المرور للحصول على حساب خدمة SQL Server 2005 بالإضافة إلى حساب خدمة SQL Server عامل يجب أن يتم الاحتفاظ السري من مسؤول نظام التشغيل. إذا كان حساب خدمة MSCS يتوفر تم الخوادم، SYSADMIN ثابت دور خادم كلمة مرور حساب خدمة MSCS يجب أيضاً أن الاحتفاظ السري من مسؤول نظام التشغيل. إذا كان يعرف مسؤول نظام التشغيل كلمة مرور حساب خدمة SQL Server 2005 أو حساب خدمة SQL Server عامل ، يمكن أن يستخدم مسؤول نظام التشغيل حساب خدمة تسجيل الدخول إلى كمبيوتر. بعد مسؤول نظام التشغيل بتسجيل الدخول إلى الكمبيوتر يمكن الاتصال مسؤول نظام التشغيل إلى مثيل SQL Server 2005 كمسؤول SQL Server.

للاحتفاظ مسؤول نظام التشغيل من المصدر التعليمي مرور حسابات الخدمة التي يتم استخدامها بواسطة SQL Server 2005 عامل ملقم SQL يجب أن تكون مسؤول نظام SQL Server قادراً على تعيين كلمة مرور جديدة لحساب الخدمة. مسؤول نظام SQL Server 2005 في معظم الحالات، غير مسؤول نظام التشغيل. لذلك، يجب كتابة الأداة مساعدة غرض خاص لتوفير هذه الوظيفة. على سبيل المثال، يمكنك إنشاء خدمة الموثوق بها التي يمكن أن يستخدم مسؤول نظام SQL Server 2005 تغيير كلمات المرور لحسابات الخدمات التي يتم استخدامها بواسطة SQL Server 2005. لا تقدم Microsoft حالياً هذه الخدمة.

حساب خدمة خدمة نظام المجموعة لـ Microsoft "(MSCS)

في عملية تثبيت نظام مجموعة تجاوز فشل SQL Server 2005 يعتمد حساب خدمة MSCS على العضوية في مجموعة BUILTIN\Administrators لتسجيل الدخول إلى SQL Server 2005 لتشغيل الاختيار IsAlive. إذا قمت بإزالة المجموعة BUILTIN\Administrators من نظام مجموعة تجاوز فشل يجب منح أذونات حساب الخدمة MSCS لتسجيل الدخول إلى نظام مجموعة تجاوز فشل SQL Server 2005 بشكل صريح. للقيام بذلك، قم بتنفيذ عبارة SQL التالية في مثيل SQL Server 2005.
CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
SQL Server 2005 المزود بحزمة الخدمة SP2 إضافة القدرات الجديدة التشخيص لكتل تجاوز فشل SQL Server 2005. اختبارات التشخيص التقاط حالة مورد نظام المجموعة SQL Server 2005 تلقائياً قبل يفشل نظام المجموعة. يجعل SQL Server 2005 الموارد مكتبة الارتباط الحيوي (DLL) تجميع بيانات التشخيص هذا أسهل ، كما يلي:
  • يبدأ المورد في SQL Server 2005 مثيل الأداة المساعدة Sqlcmd.exe ضمن سياق الأمان لحساب خدمة MSCS. ثم، المورد SQL Server 2005 تشغيل برنامج نصي SQL عبر اتصال مسؤول مخصص (DAC) عينات طرق العرض المختلفة إدارة الحيوية (DMV).
  • يلتقط المورد SQL Server 2005 ملف تفريغ مستخدم من عملية SQL Server 2005 قبل يفشل نظام المجموعة.
لأنه يستخدم اتصال مسؤول مخصص في تجميع بيانات التشخيص بعض ، يجب أن يتم توفير حساب خدمة MSCS في دور مسؤول النظام الملقم ثابتة. إذا كان يعني ممارسات الأمان في المؤسسة الخاصة بك لا يمكن توفير حساب خدمة MSCS في SYSADMIN ثابت دور خادم, يمكن منح حساب خدمة MSCS تسجيل دخول SQL Server التي لم يتم توفير في مسؤول النظام SYSADMIN إصلاح دور خادم. في هذا السيناريو، ستفشل التشخيص التي يتم التقاطها عادةً بواسطة الأداة المساعدة Sqlcmd.exe لأن الأداة المساعدة Sqlcmd.exe يتعذر تسجيل الدخول إلى SQL Server 2005. موارد SQL Server 2005 يجب أن تكون قادراً على تجميع ملف تفريغ مستخدم بغض النظر عن ما إذا كان حساب خدمة SQL Server 2005 المورد توفير DLL في مسؤول النظام SYSADMIN إصلاح دور خادم DLL.

إذا كنت تريد تسجيل الدخول إلى SQL Server 2005 باستخدام حساب يكون عضواً من مسؤول النظام SYSADMIN ثابت دور خادم. ثم قم بتنفيذ عبارة SQL التالية لإضافة حساب خدمة MSCS إلى دور خادم ثابت SYSADMIN.
EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

كيفية تغيير حسابات الخدمة

على الرغم من الخطوات السابقة قد تجعل الأمر أكثر صعوبة على مسؤول نظام التشغيل للاتصال بـ SQL Server 2005 ، الخطوات السابقة جعلها أكثر cumbersome تغيير حسابات الخدمة لـ SQL Server 2005 عامل ملقم SQL. لتغيير حسابات الخدمة لـ SQL Server 2005 و SQL Server عامل اتبع الخطوات التالية:
  1. إضافة حساب خدمة جديد أو حسابات الخدمة إلى مجموعة Windows أو المجموعات التي قمت بإنشائها لـ SQL Server و لعامل ملقم SQL.
  2. استخدام حساب لديه إذن ALTER تسجيل الدخول أية إنشاء تسجيل دخول SQL Server 2005 لحسابات خدمة جديدة. للقيام بذلك، قم بتنفيذ عبارة SQL التالية من حساب له الإذن ALTER تسجيل الدخول أية.
    CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  3. استخدام حساب يتم توفير في دور خادم ثابت SYSADMIN تنفيذ عبارة SQL التالية.
    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
    ملاحظة هذه العبارة إضافة حساب خدمة SQL Server 2005 "و" حساب خدمة SQL Server عامل إلى دور ملقم ثابت مسؤول النظام.
  4. تغيير حساب خدمة خدمة المناسب باستخدام إدارة تكوين SQL Server. للقيام بذلك، اتبع الخطوات التالية:
    1. في "إدارة تكوين خادم SQL" ، انقر فوق SQL Server 2005 Services.
    2. انقر بزر الماوس الأيمن فوق الخدمة التي تريد تعديلها ثم انقر فوق خصائص.
    3. انقر فوق علامة التبويب تسجيل الدخول ثم قم بإدخال معلومات حساب المستخدم تحتاج إلى استخدام الخدمة.
    4. انقر فوق "موافق" عند الانتهاء من إدخال معلومات الحساب.
    ملاحظة عند تغيير حساب خدمة إدارة تكوين SQL Server يطلب منك إعادة تشغيل الخدمة.
  5. استخدام حساب لديه إذن ALTER أية تسجيل الدخول لحذف تسجيلات الدخول التي تم استخدامها بواسطة حساب خدمة SQL Server 2005 حساب خدمة SQL Server عامل. للقيام بذلك، قم بتنفيذ عبارة SQL التالية.
    DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>]
    DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]
    
ملاحظة ليس لديك لمنح الأذونات إلى حسابات خدمة جديدة أو حقوق Windows NT جديدة أي بسبب إضافة حسابات خدمة جديدة إلى مجموعات Windows الخاصة بهم في الخطوة 1.

توصية تدوين عمليات

إذا كنت تريد حماية ملقم SQL ضد الوصول غير المرغوب فيها بواسطة مسؤولي النظام التشغيل يجب تدوين أيضاً العمليات التالية:
  • تدوين يبدأ تشغيل ويقوم علامات لملقم يستند إلى Windows.
  • تدوين بدء وإيقافه خدمات SQL Server 2005 و خدمات SQL Server عامل.
  • تدوين الوصول إلى دلائل مخزنة في SQL Server التي ملفات قاعدة البيانات والملفات البيانات ملفات سجل قاعدة بيانات ملفات النسخ الاحتياطي.
  • تدوين تغييرات إلى حساب خدمة SQL Server 2005 ثم حساب خدمة SQL Server عامل.
  • تدقيق تسجيلات دخول شبكة الاتصال "و" تسجيلات دخول الكمبيوتر بواسطة حساب خدمة SQL Server 2005 عن طريق حساب خدمة SQL Server عامل أو عن طريق حساب خدمة MSCS.

حساب NT AUTHORITY\SYSTEM

يتم أيضاً منح حساب NT AUTHORITY\SYSTEM تسجيل دخول SQL Server. يتم توفير حساب NT AUTHORITY\SYSTEM في دور مسؤول النظام الملقم ثابتة. لا حذف هذا الحساب أو إزالتها من دور الملقم ثابت مسؤول النظام. يتم استخدام الحساب NTAUTHORITY\SYSTEM بواسطة Microsoft Update ومن قبل Microsoft SMS لتطبيق حزم الخدمة والإصلاحات العاجلة على تثبيت SQL Server 2005. يتم أيضاً استخدام الحساب NTAUTHORITY\SYSTEM بواسطة خدمة كاتب SQL.

أيضاً، عند تشغيل SQL Server 2005 في وضع المستخدم المفرد لأي مستخدم لديه العضوية في مجموعة BUILTIN\Administrators يمكن الاتصال SQL Server 2005 كمسؤول SQL Server. يمكن الاتصال المستخدم بغض النظر عن ما إذا كانت المجموعة BUILTIN\Administrators تم منح تسجيل دخول ملقم الذي يتم توفير في SYSADMIN ثابت دور خادم. يعتبر هذا السلوك حسب التصميم. الغرض من هذا السلوك هو استخدامها من أجل وحدات سيناريو الاسترداد البيانات.

للحصول على مزيد من المعلومات حول أمان أفضل الممارسات لـ SQL Server 2005 راجع الموضوع "أمان اعتبارات للحصول على SQL Server تثبيت" في SQL Server 2005 المباشرة.

مراجع

لمزيد من المعلومات حول اعتبارات الأمان الخاصة تثبيت SQL Server قم بزيارة موقع Microsoft TechNet على ويب التالي:
http://technet.microsoft.com/en-us/library/ms144228.aspx

الخصائص

معرف المقالة: 932881 - تاريخ آخر مراجعة: 18/صفر/1430 - مراجعة: 3.1
تنطبق على
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Enterprise X64 Edition
  • Microsoft SQL Server 2005 Enterprise Edition for Itanium Based Systems
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Standard X64 Edition
كلمات أساسية: 
kbmt kbpubtypekc kbcode kbinfo kbhowto KB932881 KbMtar
ترجمة آلية
هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية
اضغط هنا لرابط المقالة باللغة الانجليزية932881

إرسال ملاحظات

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com