Domänengruppen für gruppierte Dienste

Aktualisiert: 12. Dezember 2006

Verwenden Sie die Seite Domänengruppen für gruppierte Dienste des Installations-Assistenten für Microsoft SQL Server, um globale oder lokale Domänengruppen für die gruppierten Dienste anzugeben, die als Teil eines SQL Server 2005-Failoverclusters installiert werden.

Für eine sichere Betriebsumgebung, muss der Zugriff auf Ressourcen auf Failoverclusterknoten eingeschränkt werden. Auf einem SQL Server 2005-Failovercluster werden Domänengruppen, die allen Clusterknoten gemeinsam sind, zum Steuern des Zugriffs auf Registrierungsschlüssel, Dateien, SQL Server-Objekte und andere Clusterressourcen verwendet. Alle Ressourcenberechtigungen werden durch Gruppen auf Domänenebene gesteuert, die SQL Server-Dienstkonten als Mitglieder enthalten.

Das Hinzufügen von Domänengruppen ist eine der Hauptaufgaben eines Domänenadministrators. Stellen Sie sicher, dass alle Domänengruppen für den SQL Server 2005-Failovercluster den Sicherheitsrichtlinien Ihrer Organisation entsprechend erstellt oder geändert werden.

Optionen

SQL Server-Dienst, SQL Server-Agent-Dienst, Analysis Services-Dienst und Volltextsuche müssen als Domänenkonten ausgeführt werden. Die Domänengruppen für diese Dienste müssen zu dem Zeitpunkt vorhanden sein, zu dem das SQL Server-Setup ausgeführt wird. Fragen Sie gegebenenfalls den Domänenadministrator nach den Namen vorhandener globaler oder lokaler Domänengruppen, oder bitten Sie ihn, Domänengruppen für den Failovercluster zu erstellen.

Geben Sie für jeden gruppierten Dienst in der Instanz von SQL Server, den Sie installieren, den Domänen- und Gruppennamen im Format <DomainName>\<GroupName> den folgenden Richtlinien entsprechend ein:

  • Bei den Domänengruppen kann es sich um globale oder lokale Domänengruppen handeln.
  • Domänengruppen müssen sich innerhalb derselben Domäne wie die Computerkonten befinden. Wenn der Computer, auf dem SQL Server installiert wird, sich in der SQLSVR-Domäne befindet, die MYDOMAIN untergeordnet ist, müssen Sie eine Gruppe in der SQLSVR-Domäne angeben. Die SQLSVR-Domäne kann Benutzerkonten aus MYDOMAIN enthalten.
  • Der Benutzer muss ein direktes Mitglied der Domänengruppe sein, eine indirekte Mitgliedschaft über Untergruppen reicht nicht aus. Das Setup verfolgt keine Untergruppenmitgliedschaften, um zu überprüfen, ob sich das Benutzerkonto in der Domänengruppe befindet.
  • Die Domänen- und Domänengruppennamen müssen zum Zeitpunkt der Ausführung des Setups bereits vorhanden sein. Fragen Sie bei Bedarf den Domänenadministrator nach den Namen von vorhandenen Domänengruppen, oder bitten Sie Ihn, Domänengruppen für den Failovercluster zu erstellen. Falls Domänengruppen unmittelbar vor der Ausführung des Setups erstellt werden, müssen Sie eine gewisse Zeit warten, bis die Änderungen in einem Unternehmensnetzwerk weitergegeben wurden.
  • Den Domänengruppen sollten die entsprechenden Dienstkonten hinzugefügt werden. Wenn die Dienstkonten zum Zeitpunkt der Ausführung des Setups keine Mitglieder der entsprechenden Domänengruppen sind, versucht das Setup, diese hinzuzufügen. In diesem Fall muss das Konto, unter dem das Setup ausgeführt wird, geeignete Privilegien zum Hinzufügen von Konten zu den Domänengruppen haben. Wenn das SQL Server-Setup unter einem Konto ausgeführt wird, das keine Berechtigungen zum Hinzufügen von Benutzern zu den Domänengruppen hat, müssen die Benutzer bereits Mitglieder der entsprechenden Gruppe sein.
  • Jeder Dienst sollte eine andere Domänengruppe verwenden. Sie können jedoch dieselbe Domänengruppe und dasselbe Konto für alle SQL Server-Dienste verwenden, Sie können dieselbe Domänengruppe und verschiedene Konten für jeden SQL Server-Dienst verwenden, oder Sie können eine andere Domänengruppe und ein anderes Konto für jeden SQL Server-Dienst verwenden. Um Berechtigungen mit höchster Granularität steuern zu können, sollten Sie ein anderes Konto und eine andere Domänengruppe für jeden SQL Server-Dienst und für jeden virtuellen Server in der Domäne verwenden.
  • Die SQL Server-Domänengruppen sollten nicht mit anderen Anwendungen gemeinsam genutzt werden.

Beachten Sie, dass Sie Zugriff auf den Domänencontroller haben müssen, um Probleme bei Domänengruppen behandeln zu können.

SQL Server-Konten werden nicht aus den Domänengruppen entfernt, wenn SQL Server deinstalliert wird oder wenn die Konten geändert werden. Ein Domänenadministrator muss sicherstellen, dass nach dem Entfernen von SQL Server alle unerwünschten Konten entfernt werden.

Siehe auch

Konzepte

Vor dem Installieren der Failover-Clusterunterstützung

Hilfe und Informationen

Informationsquellen für SQL Server 2005

Änderungsverlauf

Version Verlauf

12. Dezember 2006

Geänderter Inhalt:
  • Es wurde angegeben, dass es sich bei Domänengruppen für gruppierte Dienste um globale oder lokale Domänengruppen handeln kann.