Notification Services に必要なセキュリティ アカウント
Notification Services のインスタンスには、ホストされるイベント プロバイダ、ジェネレータ、およびディストリビュータを実行する Notification Services エンジンのアカウント、サブスクリプションの管理やイベントの送信に使用する外部アプリケーションのアカウント、およびインスタンスの配置と管理のためのアカウントが必要です。これらのアカウントには、SQL Server の権限だけでなく Windows のアクセス許可も必要です。
以下のアカウントが必要です。
- **エンジンのアカウント。**エンジンは、Notification Services インスタンスのジェネレータ、ディストリビュータ、およびホストされるイベント プロバイダを実行します。通常は、このエンジンは Microsoft Windows サービスの NS$instanceName です (Notification Services のインスタンスを登録すると作成されます)。ただし、カスタム アプリケーションやカスタム プロセスでエンジンをホストすることもできます。どちらの場合も、ローカル、ドメイン、または組み込みの Windows アカウントでエンジンを実行する必要があります。エンジンはこのアカウントを使用して、ローカル リソース、ネットワーク リソース、およびデータベースにアクセスします。詳細については、「Notification Services のインスタンスの Windows アカウントの構成」を参照してください。
エンジンは、Windows アカウントまたは SQL Server ログインのいずれかを使用して、インスタンスとアプリケーションのデータが格納されているデータベースに接続します。データベース アクセスに Windows アカウントを使用する場合は、その Windows アカウントに、データベース サーバーにログインする権限と、インスタンスのデータベースの権限を与える必要があります。SQL Server ログインを使用する場合は、SQL Server ログイン アカウントを作成し、そのアカウントにデータベースの権限を与える必要があります。詳細については、「Notification Services のインスタンスの SQL Server 権限の構成」を参照してください。 - **サブスクリプション管理アカウント。**サブスクリプション管理インターフェイスには、データベース サーバーに接続してサブスクリプション管理ストアド プロシージャを実行するための権限が必要です。詳細については、「クライアント アプリケーションに必要な権限」を参照してください。
- **ホストされないイベント プロバイダのアカウント。**ホストされないイベント プロバイダを使用している場合は、そのイベント プロバイダが使用するアカウントに、インスタンスとアプリケーションのデータを読み取るための権限と、イベント データを送信するための権限が必要です。詳細については、「クライアント アプリケーションに必要な権限」を参照してください。
- **配置と管理のアカウント。**Notification Services のインスタンスを配置するときには、インスタンスの作成および登録の権限と、セキュリティの構成の権限が必要です。Notification Services のインスタンスを管理するときには、インスタンスの更新、インスタンスのアップグレード、セキュリティの管理、パフォーマンスの監視などの作業が必要になります。これらの作業ではそれぞれ異なる権限が必要になるため、スタッフの間で作業を分担する場合は、各スタッフの SQL Server アカウントに適切な権限を与える必要があります。詳細については、「Notification Services の配置と管理に必要な権限」を参照してください。
これらのアプリケーションや操作には、それぞれ独自のセキュリティ要件があります。Notification Services のインスタンスの配置、管理、および実行に同じアカウントを使用することもできますが、各プロセスまたは操作で権限を必要最小限に制限するようお勧めします。可能であれば、アプリケーションまたはコンポーネントごとに別のアカウントを使用して、定義済みのデータベース ロールを通じて最小限の権限をデータベース ユーザー アカウントに与えるようにしてください。
参照
概念
Notification Services エンジンのホスト
Notification Services データベース ロール
Notification Services のセキュリティに関する注意点