Смекни!
smekni.com

О sqlrem.bat — удаляет SQL Server 2000.

Вы также можете скопировать и отредактировать любой из этих файлов по своему усмотрению. Например, разрешить использование доменной учетной за­писи пользователя в файле sqlins.iss для выполнения типичной установки.

Если вы не уверены, что готовы пуститься в самостоятельное плавание, луч­ше всего воспользоваться разработанной Microsoft стандартной установкой, под­ходящей большинству пользователей.

Создание учетных записей

SQL Server 2000 под управлением операционных систем Windows NT и Windows 2000 функционирует как служба операционной системы, или, точнее, как две службы — MSSQLServer и SQLServerAgent. Система защиты Windows NT и Windows 2000 требует, чтобы любой доступ к ресурсам был подтвержден наличием соответствующих прав. Хотя все службы и являются частью одного приложения, все же перед тем как начать работу, они обязаны пройти провер­ку прав доступа подобно обычным пользователям. Как известно, права и раз­решения назначаются на основе учетных записей. Таким образом, некоторые службы SQL Server 2000, которые обращаются к ресурсам сети, обязаны иметь собственные учетные записи, причем разные службы могут иметь разные учет­ные записи.

Этот раздел имеет отношение только к операционным системам семейства Windows NT и Windows 2000. В операционной системе Windows 98 не реализована возможность выполнения при-1 ложений в виде служб операционной системы. При запуске SQL Server 2000 под управлением этой j операционной системы используется учетная запись текущего пользователя. Как следствие, SQL' Server 2000 будет иметь те же права доступа, что и пользователь, запустивший это приложение. '

Различается три вида учетных записей, под которыми может стартовать SQL ;

Server.

О Local System (локальная система). Учетная запись локальной системы созда­ется автоматически при установке операционной системы. Под этой учетной записью служба SQL Server запускается с правами операционной системы. Все действия по управлению этой учетной записью, в том числе и измене­ния пароля, выполняет сама операционная система. Даже администратор не может управлять ею. Данная учетная запись имеет права администратора и обычно по умолчанию ей предоставляется доступ ко всем файлам. Однако если вы решили для запуска SQL Server 2000 использовать локальную учет­ную запись, убедитесь в том, что она имеет полный доступ ко всем необхо­димым файлам и папкам SQL Server 2000, и если потребуется, то предоставьте сами этой учетной записи доступ к тем или иным ресурсам.

О Local User (локальный пользователь). Данная учетная запись создается на от­дельном компьютере. Соответственно, область действия подобных учетных записей ограничивается одним этим компьютером. При запуске SQL Server 2000 под учетной записью локального пользователя, не входящего в группу локальных администраторов, следует предоставить этой учетной за­писи полный доступ ко всем файлам и папкам SQL Server 2000, а также раз­решить ей регистрироваться локально и стартовать в качестве службы опе­рационной системы.

О User for Domain (пользователь домена). Принципиальным отличием учетных записей пользователя домена является возможность работы в сети. Учетные записи этого типа хранятся централизованно на контроллере домена (domain controller) Windows NT или Windows 2000 и доступны с любого компьюте­ра, входящего в домен.

Учетные записи локальной системы и локального пользователя не поддер­живают сетевые операции. Следовательно, когда сервер SQL Server 2000 рабо­тает под локальной учетной записью, то он будет иметь ограниченные возмож­ности. В частности, нельзя будет выполнять следующие действия: О вызов удаленных процедур (Remote Procedure Calls, RPC); О репликация; О резервное копирование данных на сетевой диск;

О использование разнородных источников данных, требующих сетевого соеди­нения;

О поддержка электронной почты.

Таким образом, выбирая тип учетной записи, учитывайте те возможности, которые она предоставляет.

Во всех случаях, требующих наличия сети, необходимо использовать учетную запись пользователя в домене. Кроме того, если предполагается репликация, то рекомендуется использовать на всех серверах одну и ту же учетную запись пользователя в домене для запуска служб SQL Server 2000. Это гарантирует, что не возникнет никаких конфликтов разрешений на доступ к ресурсам. При конфигурировании репликации рекомендуется использовать одну и ту же учетную запись пользо­вателя для издателя и подписчика, чтобы избежать проблем с разграничением доступа.

Основным компонентом SQL Server 2000 является служба MSSQLServer. Все остальные компоненты (SQLServerAgent, Microsoft Search и MSDTC) устанав­ливают соединение с MSSQLServer. При этом учетные записи, под которыми стартуют службы SQLServerAgent и MSDTC, должны иметь соответствующие права на самом сервере. Для этого необходимо назначить соответствующим учет­ным записям встроенную роль сервера (fixed server role) Sysadmin.

Служба Microsoft Search может стартовать только под локальной учетной записью системы. Для установления соединения со службой MSSQLServer она использует имя и пароль учетнбй записи, под которой стартует служба MSSQLServer.

Как уже говорилось выше, каждая служба SQL Server 2000 может стартовать под собственной учетной записью. Но если нет особых на то причин, то для того чтобы избежать проблем с правами доступа, рекомендуется запускать все служ­бы под одной учетной записью. Также можно предоставить учетным записям служб права администратора локальной операционной системы, включив их в группу Administrators. Это даст возможность SQL Server 2000 перезапускать сер­вер и поможет избежать некоторых проблем с автоматическим выполнением за­даний (jobs). Однако такой подход открывает потенциальную возможность взлома системы с использованием SQL Server 2000. Если вы хотите максимально обез­опасить систему, то лучше потратить некоторое время на конфигурирование прав доступа, не предоставляя учетной записи административных прав.

Независимо от того, под какой учетной записью предполагается запуск служб SQL Server 2000, необходимо убедиться в том, что эта учетная запись имеет сле­дующие права:

О доступ и изменение файлов в папке \Program Files\Microsoft SQL Server\Mssql; О доступ и изменение файлов баз данных — mdf, ndf и Idf;

О чтение и запись следующих ключей реестра:

* HKEY_LOCAL_MACHINE\Software\Microsoft \MSSQLServer; » HKEY_LOCAL_MACHINE\System\CurrentControl set \Services \MSSQLServer. . Если свойства запуска служб SQL Server 2000 сконфигурированы некорректно, то впоследствии их можно изменить с помощью утилиты Services (службы) из окна Control Panel (панель управления) или с помощью интерфейса Enterprise Manager

Во всех случаях, требующих наличия сети, необходимо использовать учетную запись пользователя в домене. Кроме того, если предполагается репликация, то рекомендуется использовать на всех серверах одну и ту же учетную запись пользователя в домене для запуска служб SQL Server 2000. Это гарантирует, что не возникнет никаких конфликтов разрешений на доступ к ресурсам. При конфигурировании репликации рекомендуется использовать одну и ту же учетную запись пользо­вателя для издателя и подписчика, чтобы избежать проблем с разграничением доступа.

Основным компонентом SQL Server 2000 является служба MSSQLServer. Все остальные компоненты (SQLServerAgent, Microsoft Search и MSDTC) устанав­ливают соединение с MSSQLServer. При этом учетные записи, под которыми стартуют службы SQLServerAgent и MSDTC, должны иметь соответствующие права на самом сервере. Для этого необходимо назначить соответствующим учет­ным записям встроенную роль сервера (fixed server role) Sysadmin.

Служба Microsoft Search может стартовать только под локальной учетной записью системы. Для установления соединения со службой MSSQLServer она использует имя и пароль учетнбй записи, под которой стартует служба MSSQLServer.

Как уже говорилось выше, каждая служба SQL Server 2000 может стартовать под собственной учетной записью. Но если нет особых на то причин, то для того чтобы избежать проблем с правами доступа, рекомендуется запускать все служ­бы под одной учетной записью. Также можно предоставить учетным записям служб права администратора локальной операционной системы, включив их в группу Administrators. Это даст возможность SQL Server 2000 перезапускать сер­вер и поможет избежать некоторых проблем с автоматическим выполнением за­даний Gobs). Однако такой подход открывает потенциальную возможность взлома системы с использованием SQL Server 2000. Если вы хотите максимально обез­опасить систему, то лучше потратить некоторое время на конфигурирование прав доступа, не предоставляя учетной записи административных прав.

Независимо от того, под какой учетной записью предполагается запуск служб SQL Server 2000, необходимо убедиться в том, что эта учетная запись имеет сле­дующие права:

О доступ и изменение файлов в папке \Program Files\Microsoft SQL Server\Mssql; О доступ и изменение файлов баз данных — mdf, ndf и Idf; О чтение и запись следующих ключей реестра:

« HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer;

» HKEY_LOCAL_MACHINE\System\CurrentControlset\Services\MSSQLServer.

Если свойства запуска служб SQL Server 2000 сконфигурированы некорректно, то впоследствии их можно изменить с помощью утилиты Services (службы) из окна Control Panel (панель управления) или с помощью интерфейса Enterprise Manager.

Создание учетных записей в Windows 2000

Создание учетных записей в Windows 2000 отличается от создания учетных записей в Windows NT 4.0. Для управления учетными записями пользовате­лей домена Windows 2000 используется оснастка (в терминологии Windows NT -утилита) Active Directory Users and Computers. Когда же выполняется конфи­гурирование учетных записей локальных пользователей, то используется ос­настка Computer Management (рис. 7.4). В этом разделе будет рассмотрено со­здание учетных записей для локальных пользователей Windows 2000. Создание пользователей домена отличается лишь тем, что требуется иная утилита и ввод несколько большего количества информации о пользователе. Однако мы не будем рассматривать конфигурирование дополнительных сведений о пользо­вателе, таких как адрес его электронной почты, профиль, возможность исполь­зования RAS и т. д.

При работе с оснасткой Computer Management информация о локальных пользователях хранится в папке System Tools\Local Users and Groups\Users. При вы­боре в левой части окна этой папки в правой части будет отображен список всех пользователей, созданных на выбранном для администрирования компьютере. Для создания нового пользователя необходимо в контекстном меню папки Users вы­брать пункт New User (новый пользователь). В ответ откроется одноименное ди­алоговое окно (рис. 7.5), с помощью которого необходимо указать основные све­дения о создаваемой учетной записи.