Modelo de seguridad del Agente de réplica
Actualizado: 12 de diciembre de 2006
El modelo de seguridad del agente de réplica permite un control concreto sobre las cuentas con las que los agentes de réplica se ejecutan y realizan conexiones: se puede especificar una cuenta diferente para cada agente. Para obtener más información acerca de cómo especificar cuentas, vea Administrar inicios de sesión y contraseñas en la réplica.
.gif "ms151868.note(es-es,SQL.90).gif") Importante: |
|---|
| Cuando un miembro de la función fija de servidor sysadmin configura la réplica, los agentes de réplica se pueden configurar para suplantar la cuenta del Agente SQL Server. Esto se consigue no especificando ningún inicio de sesión ni contraseña para el agente de réplica; no obstante, no se recomienda este enfoque. En su lugar, por seguridad, se recomienda especificar una cuenta para cada agente con los permisos mínimos descritos en la sección "Permisos requeridos por los agentes", más adelante en este tema. |
Los agentes de réplica, como todos los ejecutables, se ejecutan en el contexto de una cuenta de Windows. Los agentes establecen conexiones de seguridad integrada de Windows usando esta cuenta. La cuenta con la que se ejecuta el agente depende de la forma en que se inicie el agente:
Inicio del agente desde un trabajo del Agente SQL Server (valor predeterminado): cuando se utiliza un trabajo del Agente SQL Server para iniciar un agente de réplica, el agente se ejecuta en el contexto de la cuenta que se especifica al configurar la réplica. Para obtener más información acerca del Agente SQL Server y la réplica, vea la sección "Seguridad de agentes con el Agente SQL Server" más adelante en este tema. Para obtener información acerca de los permisos necesarios para la cuenta con la que se ejecuta el Agente SQL Server, vea Configurar el Agente SQL Server.
Inicio del agente desde una línea de comandos de MS-DOS (directamente o mediante una secuencia de comandos): el agente se ejecuta en el contexto de la cuenta del usuario que ejecuta el agente en la línea de comandos.
Inicio del agente desde una aplicación que utiliza Objetos de administración de réplica (RMO) o un control ActiveX: el agente se ejecuta en el contexto de la aplicación que llama a RMO o al control ActiveX.
[!NOTA] Los controles ActiveX ya no se utilizan.
Se recomienda que las conexiones se realicen en el contexto de la seguridad integrada de Windows. Para mantener la compatibilidad con versiones anteriores, también se puede utilizar la seguridad de SQL Server. Para obtener más información acerca de las prácticas recomendadas, vea Prácticas recomendadas de seguridad de réplica.
Permisos requeridos por los agentes
Las cuentas con las que los agentes se ejecutan y realizan conexiones requieren diversos permisos. Estos permisos se describen en la siguiente tabla. Se recomienda que cada agente se ejecute con una cuenta de Windows diferente y que sólo se concedan los permisos requeridos a la cuenta. Para obtener información acerca de la lista de acceso de la publicación (PAL), que es importante para varios agentes, vea Proteger el publicador.
[!NOTA] El Control de cuentas de usuario (UAC) de Windows Vista puede impedir el acceso administrativo al recurso compartido de instantáneas. Por lo tanto, debe conceder de forma explícita permisos del recurso compartido de instantáneas a las cuentas de Windows usadas por el Agente de instantáneas, el Agente de distribución y el Agente de mezcla. Debe hacerlo incluso si las cuentas de Windows pertenecen al grupo Administradores. Para obtener más información, vea Proteger la carpeta de instantáneas.
| Agente | Permisos |
|---|---|
Agente de instantáneas |
La cuenta de Windows con la que se ejecuta el agente se utiliza al realizar conexiones al distribuidor. Esta cuenta debe:
La cuenta utilizada para conectarse al publicador debe ser miembro, como mínimo, de la función fija de base de datos db_owner en la base de datos de publicaciones. |
Agente de registro del LOG |
La cuenta de Windows con la que se ejecuta el agente se utiliza al realizar conexiones al distribuidor. Esta cuenta debe ser, como mínimo, miembro de la función fija de base de datos db_owner en la base de datos de distribución. La cuenta utilizada para conectarse al publicador debe ser miembro, como mínimo, de la función fija de base de datos db_owner en la base de datos de publicaciones. |
Agente de distribución para una suscripción de inserción |
La cuenta de Windows con la que se ejecuta el agente se utiliza al realizar conexiones al distribuidor. Esta cuenta debe:
La cuenta utilizada para conectarse al suscriptor debe ser, como mínimo, miembro de la función fija de base de datos db_owner en la base de datos de suscripciones (o tener permisos equivalentes si la suscripción es para un suscriptor que no sea de SQL Server). |
Agente de distribución para una suscripción de extracción |
La cuenta de Windows con la que se ejecuta el agente se utiliza al realizar conexiones al suscriptor. Esta cuenta debe ser, como mínimo, miembro de la función fija de base de datos db_owner en la base de datos de suscripciones. La cuenta utilizada para conectarse al distribuidor debe:
|
Agente de mezcla para una suscripción de inserción |
La cuenta de Windows con la que se ejecuta el agente se utiliza al realizar conexiones al publicador y al distribuidor. Esta cuenta debe:
La cuenta utilizada para conectarse al suscriptor debe ser miembro, como mínimo, de la función fija de base de datos db_owner en la base de datos de suscripciones. |
Agente de mezcla para una suscripción de extracción |
La cuenta de Windows con la que se ejecuta el agente se utiliza al realizar conexiones al suscriptor. Esta cuenta debe ser, como mínimo, miembro de la función fija de base de datos db_owner en la base de datos de suscripciones. La cuenta utilizada para conectarse al publicador y al distribuidor debe:
|
Agente de lectura de cola |
La cuenta de Windows con la que se ejecuta el agente se utiliza al realizar conexiones al distribuidor. Esta cuenta debe ser, como mínimo, miembro de la función fija de base de datos db_owner en la base de datos de distribución. La cuenta utilizada para conectarse al publicador debe ser miembro, como mínimo, de la función fija de base de datos db_owner en la base de datos de publicaciones. La cuenta utilizada para conectarse al suscriptor debe ser miembro, como mínimo, de la función fija de base de datos db_owner en la base de datos de suscripciones. |
Seguridad de agentes con el Agente SQL Server
Cuando se configura la réplica mediante SQL Server Management Studio, procedimientos de Transact-SQL o RMO, se crea de forma predeterminada un trabajo del Agente SQL Server para cada agente. A continuación, los agentes se ejecutan en el contexto de un paso de trabajo, independientemente de si se ejecutan de forma continua, programada o a petición. Estos trabajos se pueden ver en la carpeta Trabajos de SQL Server Management Studio. En la tabla siguiente se enumeran los nombres de los trabajos.
| Agente | Nombre del trabajo |
|---|---|
Agente de instantáneas |
<publicador>-<baseDeDatosDePublicaciones>-<publicación>-<entero> |
Agente de réplica para una partición de publicación de mezcla |
Dyn_<publicador>-<baseDeDatosDePublicaciones>-<publicación>-<GUID> |
Agente de registro del LOG |
<publicador>-<baseDeDatosDePublicaciones>-<entero> |
Agente de mezcla para suscripciones de extracción |
<publicador>-<baseDeDatosDePublicaciones>-<publicación>-<suscriptor>-<baseDeDatosDeSuscripciones>-<entero> |
Agente de mezcla para suscripciones de inserción |
<publicador>-<baseDeDatosDePublicaciones>-<publicación>-<suscriptor>-<entero> |
Agente de distribución para suscripciones de inserción |
<publicador>-<baseDeDatosDePublicaciones>-<publicación>-<suscriptor>-<entero>1 |
Agente de distribución para suscripciones de extracción |
<publicador>-<baseDeDatosDePublicaciones>-<publicación>-<suscriptor>-<baseDeDatosDeSuscripciones>-<GUID>2 |
Agente de distribución para suscripciones de inserción a suscriptores que no sean de SQL Server |
<publicador>-<baseDeDatosDePublicaciones>-<publicación>-<suscriptor>-<entero> |
Agente de lectura de cola |
[<distribuidor>].<entero> |
1 Para suscripciones de inserción a publicaciones de Oracle, el nombre del trabajo es <publicador>-<publicador> en lugar de <publicador>-<baseDeDatosDePublicaciones>.
2 Para suscripciones de extracción a publicaciones de Oracle, el nombre del trabajo es <publicador>-<baseDeDatosDeDistribución> en lugar de <publicador>-<baseDeDatosDePublicaciones>.
Al configurar la réplica se especifican las cuentas en las que se ejecutarán los agentes. No obstante, todos los pasos del trabajo se ejecutan en el contexto de seguridad de un proxy, por lo que la réplica lleva a cabo internamente las siguientes asignaciones para las cuentas de agente que especifique:
- La cuenta se asigna primero a una credencial utilizando la instrucción CREATE CREDENTIAL de Transact-SQL. Las cuentas de proxy del Agente SQL Server utilizan credenciales para almacenar información acerca de las cuentas de usuario de Windows.
- Se llama al procedimiento almacenado sp_add_proxy y, a continuación, se utiliza la credencial para crear un proxy. Para obtener más información acerca de los proxy, vea Crear cuentas de proxy del Agente SQL Server.
[!NOTA] Esta información se facilita para ayudarle a entender las implicaciones de ejecutar agentes con el contexto de seguridad adecuado. No debería ser necesario interactuar directamente con las credenciales o los proxy que se hayan creado.
Vea también
Conceptos
Prácticas recomendadas de seguridad de réplica
Proteger la carpeta de instantáneas
Otros recursos
Consideraciones de seguridad para la réplica
Ayuda e información
Obtener ayuda sobre SQL Server 2005
Historial de cambios
| Versión | Historial |
|---|---|
12 de diciembre de 2006 |
|