Share via

  • Artykuł

Model zabezpieczeń Agent replikacji

Model zabezpieczeń agent replikacja pozwala na bardzo dokładną kontrolę konta, w jakich agenci replikacja uruchamiać i nawiązywać połączenia: Dla każdego agenta można określić inne konto.Aby uzyskać więcej informacji na temat określania kont, zobacz Zarządzanie logowania i hasła w replikacji.

Ważna informacjaWażne:

Gdy element członkowski sysadmin stała rola serwera Konfiguruje replikację, agenci mogą być konfigurowane do personifikacji replikacja SQL Server konto agenta.Jest to realizowane przez nie określając identyfikator logowania i hasło dla agenta replikacja; jednak nie zaleca tego podejścia.Zamiast tego, ze względów bezpieczeństwa zaleca się określić konto dla każdego agenta, który ma minimalne uprawnienia, które są opisane w sekcji "Uprawnienia, są wymagane przez czynniki" w dalszej części tego tematu.

Agenci replikacji, podobnie jak wszystkie pliki wykonywalne uruchamiane w kontekście konta systemu Windows.Czynniki nawiązywać połączenia zintegrowane zabezpieczenia systemu Windows przy użyciu tego konta.Konto używane do uruchamiania agenta zależy od sposobu uruchamiania agenta:

  • Uruchamianie agenta z SQL Server zadanie agenta, domyślnie: Gdy SQL Server zadanie agenta jest używany do uruchamiania agenta replikacja, agent jest uruchamiany w kontekście konta podczas konfigurowania replikacja.Więcej informacji o SQL Server i Agent replikacja, zobacz sekcję "Agent zabezpieczeń pod SQL Server Agent" w dalszej części tego tematu.Aby uzyskać informacje dotyczące uprawnień, które są wymagane dla konta, pod którym SQL Server Agent jest uruchamiany, zobacz Konfigurowanie SQL Server Agent.

  • Uruchamianie agenta z wiersza polecenia systemu MS-DOS, bezpośrednio lub poprzez skrypt: Agent jest uruchamiany w kontekście konta użytkownika, który jest uruchomiony agent w wierszu polecenia.

  • Agent począwszy od aplikacji korzystającej z replikacją obiektów zarządzania (RMO) lub formant ActiveX: Agent jest uruchomiony w kontekście aplikacji, która wywołuje RMO lub formantu ActiveX.

    Ostrzeżenie

    Formanty ActiveX są niezalecane.

Zaleca się, aby ustanawiać połączenia w kontekście zintegrowanych zabezpieczeń systemu Windows.W celu zapewnienia zgodności z poprzednimi wersjami SQL Server zabezpieczeń można także.Aby uzyskać więcej informacji o najważniejszych wskazówkach, zobacz Najważniejsze wskazówki dotyczące zabezpieczeń replikacji.

Ostrzeżenie

Replikacja skrypty utworzone z SQL Server 2000 powinny być uaktualnione do SQL Server 2008 Aby wykorzystać ulepszenia zabezpieczeń.Aby uzyskać więcej informacji, zobacz Jak Uaktualnienie replikacji skryptów (Programowanie replikacji Transact-SQL).

Uprawnienia, które są wymagane przez agentów

Konta, w jakich agentów uruchamiać i nawiązywać połączenia wymagają różnych uprawnień.Uprawnienia te są opisane w poniższej tabela.Zaleca się, że każdy agent uruchamiane z innego konta systemu Windows i konto powinno zostać przyznane tylko wymagane uprawnienia.Aby uzyskać informacje o lista dostępu do publikacja (PAL), który jest istotne, aby liczba agentów, zobacz ZabezpieczanieWydawca.

Ostrzeżenie

Kontrola konta użytkownika (UAC) w Windows Vista może uniemożliwić dostęp administracyjny do udziału migawka.Dlatego musi jawnie udzielić uprawnień udziału migawka kont systemu Windows, które są używane przez agenta migawka, Agent dystrybucji i scalanie agenta.Trzeba to zrobić, nawet jeśli konta systemu Windows są członkami grupy Administratorzy.Aby uzyskać więcej informacji, zobacz Zabezpieczanie folderu Snapshot.

Agent

Uprawnienia

Agent migawki

Konto Windows, w ramach którego działa agent jest używany podczas wykonywania połączenia do dystrybutora.Konto to musi:

  • Co najmniej być element członkowski z db_owner ustaloną rola bazy danych w bazie danych dystrybucji.

  • Należy mieć uprawnienia zapisu w udziale migawka.

Konto używane do łączenia się z Wydawca co najmniej musi być członkiem db_owner ustaloną rola bazy danych w bazie danych publikacja.

Agent odczytywania dziennika

Konto Windows, w ramach którego działa agent jest używany podczas wykonywania połączenia do dystrybutora.To konto musi co najmniej być element członkowski z db_owner ustaloną rola bazy danych w bazie danych dystrybucji.

Konto używane do łączenia się z Wydawca co najmniej musi być członkiem db_owner ustaloną rola bazy danych w bazie danych publikacja.

Agent dystrybucji wypychaniasubskrypcja

Konto Windows, w ramach którego działa agent jest używany podczas wykonywania połączenia do dystrybutora.Konto to musi:

  • Co najmniej być element członkowski z db_owner ustaloną rola bazy danych w bazie danych dystrybucji.

  • Być element członkowski z PAL.

  • Uprawnienia Odczyt migawka udziału.

  • Uprawnienia Odczyt w katalogu instalacyjnym dostawca OLE DB dla subskrybenta Jeśli subskrypcja jest dla nie - SQL Server subskrybenta.

Co najmniej konto, na którym jest używany do łączenia z abonent musi być członkiem db_owner ustaloną rolę bazy danych w baza danych subskrypcji, lub równoważne uprawnień, jeśli subskrypcja jest dla nie - SQL Server subskrybenta.

Agent dystrybucji dla replikacji ściąganej.subskrypcja

Konto systemu Windows, w ramach którego działa agent jest używany podczas wykonywania połączenia do subskrybenta.Minimum to konto musi być członkiem db_owner ustaloną rola bazy danych w baza danych subskrypcja.

Konto używane do łączenia się do dystrybutora musi:

  • Być element członkowski z PAL.

  • Uprawnienia Odczyt migawka udziału.

Scalanie Agent dla wypychaniasubskrypcja

Konta systemu Windows, w ramach którego działa agent jest używany podczas wykonywania połączenia Wydawca i dystrybutora.Konto to musi:

  • Co najmniej być element członkowski z db_owner ustaloną rola bazy danych w bazie danych dystrybucji.

  • Być element członkowski z PAL.

  • Być logowania, skojarzone z użytkownikiem w baza danych publikacja.

  • Uprawnienia Odczyt migawka udziału.

Co najmniej konto używane do łączenia z abonent musi być członkiem db_owner ustaloną rola bazy danych w baza danych subskrypcja.

Scalanie Agent dla replikacji ściąganej.subskrypcja

Konto systemu Windows, w ramach którego działa agent jest używany podczas wykonywania połączenia do subskrybenta.Minimum to konto musi być członkiem db_owner ustaloną rola bazy danych w baza danych subskrypcja.

Konto, na którym jest używany do łączenia się z Wydawca i dystrybutor musi:

  • Być element członkowski z PAL.

  • Być logowania skojarzone z użytkownikiem w baza danych publikacja.

  • Być logowania skojarzone z użytkownikiem w baza danych dystrybucji.Użytkownik może być Guest użytkownika.

  • Uprawnienia Odczyt migawka udziału.

Agent czytnik kolejki

Konto Windows, w ramach którego działa agent jest używany podczas wykonywania połączenia do dystrybutora.To konto musi co najmniej być element członkowski z db_owner ustaloną rola bazy danych w bazie danych dystrybucji.

Konto używane do łączenia się z Wydawca co najmniej musi być członkiem db_owner ustaloną rola bazy danych w bazie danych publikacja.

Co najmniej konto, na którym jest używany do łączenia z abonent musi być członkiem db_owner ustaloną rola bazy danych w baza danych subskrypcja.

Agent zabezpieczeń w programie SQL Server Agent

Podczas konfigurowania replikacja przy użyciu SQL Server Management Studio, Transact-SQL procedury lub RMO, SQL Server zadanie agenta jest tworzona domyślnie dla każdego agenta.Agenci Uruchom w kontekście krok zadanie, niezależnie od tego, czy działają w sposób ciągły, według harmonogramu lub na żądanie.Można przeglądać te zadania w ramach zadania folderu w SQL Server Management Studio.W poniższej tabela przedstawiono nazwy zadanie.

Agent

Nazwa zadania

Agent migawki

<Wydawca>—<PublicationDatabase>—<publikacji>—<całkowitą>

Agent migawki dla partycji publikacja seryjnej

Dyn_<Wydawca>-<PublicationDatabase>-<Publication>-<GUID>

Agent odczytywania dziennika

<Wydawca>—<PublicationDatabase>—<Liczba całkowita>

Scalanie do agenta ściągać subskrypcji

<Wydawca>–<PublicationDatabase>–<publikacji>—<subskrybenta>–<SubscriptionDatabase>—<całkowitą>

Scalanie do agenta wypychanie subskrypcji

<Wydawca>–<PublicationDatabase>–<publikacji>—<subskrybenta>—<całkowitą>

Agent dystrybucji dla wypychanie subskrypcji

<Wydawca>—<PublicationDatabase>–<publikacji>—<subskrybenta>–<całkowitą>1

Agent dystrybucji dla ściągać subskrypcji

<Wydawca>–<PublicationDatabase>–<publikacji>–<subskrybenta>—<SubscriptionDatabase>—<GUID>2

Agent dystrybucji dla wypychanie do innej niż SQL Server abonentami subskrypcji

<Wydawca>–<PublicationDatabase>–<publikacji>—<subskrybenta>—<całkowitą>

Agent czytnik kolejki

<Distributor>].<Liczba całkowita>

1 Dla wypychanie subskrypcji do publikacji, Oracle, nazwa zadanie jest <wydawcy>—<wydawcy> zamiast <wydawcy>–<PublicationDatabase>.

2 Dla ściągać subskrypcji do publikacji, Oracle, nazwa zadanie jest <wydawcy>—<DistributionDatabase> zamiast <wydawcy>—<PublicationDatabase>.

Podczas konfigurowania replikacja należy określić konta, na których należy uruchomić agentów.Jednak wszystkie zadanie uruchamiane w kontekście zabezpieczeń kroki serwera proxy; Dlatego replikacja wykonuje następujące mapowania wewnętrznie dla kont agent, które można określić:

  • The account is first mapped to a credential by using the Transact-SQL CREATE CREDENTIAL statement.SQL Server Agent proxy używa poświadczenia do przechowywania informacji na temat kont użytkowników systemu Windows.

  • Sp_add_proxy procedura składowana jest wywoływana i poświadczeń jest używany do tworzenia proxy.Aby uzyskać więcej informacji na temat serwerów proxy, zobacz Tworzenie SQL Server agenta proxy.

Ostrzeżenie

Tę informację do zrozumieć, co to jest zaangażowany w uruchomiony w kontekście zabezpieczeń odpowiednich czynników.Nie powinno się pracować bezpośrednio na poświadczenia lub serwery proxy, które zostały utworzone.