Artykuł
07/22/2011

Administrowanie serwerami za pomocą zarządzania opartego na zasadach

System zarządzania jednego lub więcej wystąpień jest zarządzanie oparte na zasadach SQL Server 2008.Po SQL Server wykorzystania przez administratorów zasad opartych na zasadach zarządzania, używają SQL Server Management Studio do tworzenia zasad zarządzania podmioty na serwerze, takie jak wystąpienie SQL Server, baz danych lub innych SQL Server obiektów.

Zarządzanie oparte na zasadach ma trzy składniki:

Zarządzanie zasadami

Administratorzy zasad tworzenia zasad.
Jawne administracji

Administratorzy zaznacz jeden lub więcej obiektów docelowych zarządzanych i wyraźnie sprawdzanie przestrzegania zasad określonych celów lub zostały jawnie określone jako cele zgodne z zasadami.

Tryby oceny

Istnieją cztery tryby oceny, z których trzy zautomatyzowany:

Na żądanie.Tryb ten ocenia zasad podczas bezpośrednio określony przez użytkownika.

Zmiany: zapobieganie.Ten tryb automatycznego używa Wyzwalacze DDL, aby uniknąć naruszenia zasad.

Ważne:
Jeśli nested triggers jest wyłączona opcja konfiguracja serwera, zmian: zapobieganie nie będzie działać poprawnie.Zarządzanie oparte na zasadach opiera się na wyzwalacze DDL wykrywać i wycofać operacje DDL, które nie spełniają zasad, które używają tego trybu oceny.Usunięcie Zarządzanie oparte na zasadach DDL Wyzwalacze lub wyłączania wyzwalaczy gniazdo spowoduje ten tryb oceny awarii lub nieoczekiwanie wykonanie.

Jeśli nested triggers jest wyłączona opcja konfiguracja serwera, zmian: zapobieganie nie będzie działać poprawnie.Zarządzanie oparte na zasadach opiera się na wyzwalacze DDL wykrywać i wycofać operacje DDL, które nie spełniają zasad, które używają tego trybu oceny.Usunięcie Zarządzanie oparte na zasadach DDL Wyzwalacze lub wyłączania wyzwalaczy gniazdo spowoduje ten tryb oceny awarii lub nieoczekiwanie wykonanie.

Zmiany: rejestrować tylko.Używa tego trybu automatycznego powiadomienie o zdarzeniu do oceny zasad, gdy istotne zmiany.
Zgodnie z harmonogramem.Używa tego trybu automatycznego SQL Server zadanie agenta okresowo oceniać zasad.

Zautomatyzowane zasady nie są włączone, na podstawie zasad zarządzania nie ma wpływu na wydajność systemu.

Na podstawie zasad zarządzania terminologią i pojęciami dotyczącymi

Na podstawie zasad zarządzania miejsce docelowe zarządzanych
Jednostki, które są zarządzane przez Zarządzanie oparte na zasadach, takie jak wystąpienie Aparat baz danych programu SQL Server, bazy danych, tabela lub indeks.Wszystkie obiekty docelowe na serwerze wystąpienie tworzą hierarchię miejsce docelowe.Zestaw miejsce docelowe to zestaw obiektów miejsce docelowe, wyniki z zastosowaniem zestawu docelowego filtrów do hierarchii docelowego na przykład wszystkie tabele w bazie danych posiadanych przez HumanResources schematu.
Aspekt zarządzania opartego na zasadach
Zestaw właściwości logicznych, które modelu zachowania lub cechy charakterystyczne dla niektórych typów zarządzanych elementów docelowych.Liczba i cechy charakterystyczne właściwości są wbudowane w aspekt i można dodać lub usunąć przez producenta aspekt.A typ miejsce docelowe można zaimplementować jeden lub więcej aspekty zarządzania i aspekt zarządzania może być implementowana przez jedną lub więcej typ miejsce docelowes.Niektóre właściwości aspekt można stosować tylko do określonej wersja.Na przykład właściwość bazy danych poczty aspekt Surface Area Configuration dotyczy tylko SQL Server 2005 i nowsze wersje.
Stan zarządzania opartego na zasadach
Wyrażenia wartość logiczna, który określa zestaw dozwolonych państw Zarządzanie oparte na zasadach zarządzane miejsce docelowe w odniesieniu do zarządzania aspekt.
Zasady zarządzania opartego na zasadach
Stan zarządzania opartego na zasadach i oczekiwane zachowanie, na przykład tryb oceny miejsce docelowe filtrów i harmonogram.Zasada może zawierać tylko jeden warunek.Zasady mogą być włączone lub wyłączone.
Kategorii zasad zarządzania opartego na zasadach
Kategoria użytkownika ułatwia zarządzanie zasady.Użytkowników można sklasyfikować zasady w kategoriach różnych zasad.Zasady należy do kategorii zasad jeden i tylko jeden.Kategorie zasady stosuje się do baz danych i serwerów.poziom bazy danych stosuje się następujące warunki:
- Właściciele bazy danych można subskrybować bazy danych do zestaw kategorii zasad.
- Tylko zasady z jego subskrybowanych kategorie można regulować bazy danych.
- Wszystkie bazy danych subskrybować niejawnie kategorii zasad domyślnych.
poziom serwera kategorie zasady mogą być stosowane do wszystkich baz danych.
Zasady efektywne
Zasady efektywne miejsce docelowe są zasady rządzące tego miejsce docelowe.Zasada obowiązuje w odniesieniu do miejsce docelowe tylko wtedy, gdy są spełnione następujące warunki:
- Zasada jest włączona.
- Obiekt miejsce docelowe należy do zestaw docelowego polityki.
- Obiekt miejsce docelowe lub jeden z obiektów nadrzędnych celów subskrybuje grupy zasady zawierającej tę zasadę.

Przykłady problemy rozwiązane za pomocą zarządzania opartego na zasadach

Zarządzanie oparte na zasadach byłoby pomocne w rozwiązywaniu problemów, przedstawione w następujących scenariuszach:

Zasady firmy nie pozwalają na włączanie poczta bazy danych lub poczta SQL.Aby sprawdzić stan serwera tych dwóch funkcji tworzone są zasady.Administrator porównuje stan serwera do zasad.Jeśli stan serwera jest poza zasięgiem zgodności, administrator wybierze opcję Konfiguruj tryb i zasady sprowadza stanu serwera do zgodności.
AdventureWorks2008R2 Bazy danych ma konwencja nazewnictwa, która wymaga, aby wszystkie przechowywane procedury zaczynać od litery AW_.Aby wymusić tej zasady tworzone są zasady.Administrator badania tej zasady i odbiera listę procedur przechowywanych, które są zgodności.Jeśli w przyszłości procedury przechowywane nie są zgodne z niniejszą konwencja nazewnictwa, nie instrukcje tworzenia procedur przechowywanych.

Dopuszczone tryby oceny

Tryby oceny zasad są określone przez charakterystyki aspekt zarządzania opartego na zasadach, używany przez zasady.Obsługuje wszystkie aspekty na żądanie i z harmonogramem.Obsługuje faset zmian: rejestrować tylko Jeśli zmiana stanu aspekt mogą być przechwytywane przez niektóre zdarzenia.Obsługuje faset zmian: zapobieganie przypadku transakcyjną obsługę instrukcji DDL, które zmieniają stan aspekt.Zasady, które są zautomatyzowane jeden z tych trybów wykonanie trzech włączone i wyłączone.

W SQL Server Management Studio, Zasady oceny okno dialogowe zawiera dwie opcje, używane do uruchamiania zasady:

Ocena
W ten sposób ocenisz zasady przeciwko wybranych celów.
Zastosowanie
Umożliwia zastosowanie zmian do stosowanych obiektów docelowych, które naruszają zasady.Niektóre cele nie są reconfigurable poprzez zarządzanie oparte na zasadach.Na przykład, jeśli ocenia czy istnieje kopia zapasowa i plików danych na oddzielnych urządzeń opartych na zasadach zarządzania można wykrywać naruszenia tego warunku; nie można jednak zastosować zmian poprzez zarządzanie oparte na zasadach, aby wymusić zgodność z zasadami.

Zarządzanie zasadami

Zasady są tworzone i zarządzane za pomocą Management Studio.Proces obejmuje następujące etapy:

Wybierz aspekt zarządzania opartego na zasadach, zawierającą właściwości do skonfigurowania.
Zdefiniuj warunek, który określa stan aspekt zarządzania.
Zdefiniować zasadę, która zawiera warunek, dodatkowe warunki tego filtru miejsce docelowe zestawy i tryb oceny.
Sprawdź, czy wystąpienie SQL Server jest zgodny z zasadami.

Nieudane zasad Object Explorer wskazuje zdrowia krytyczne ostrzeżenie jako czerwona ikona obok miejsce docelowe i węzłów, które są wyższe w drzewie Object Explorer.

Zasady przechowywania

Zasady są przechowywane w msdb bazy danych.Po zmianie zasad lub warunek msdb powinien być kopii up.Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące wykonywania kopii zapasowych baz danych modelu i msdb.

SQL Server 2008obejmuje zasady, których można używać do monitorowania wystąpienie SQL Server.Domyślnie, zasady te nie są zainstalowane na Aparat baz danych; Jednakże mogą być przywożone z instalacji domyślnej lokalizacji C:\Program Files\Microsoft SQL Server\100\Tools\Policies\DatabaseEngine\1033.Aby uzyskać więcej informacji, zobacz Jak Eksportowanie i importowanie zasad zarządzania opartego na zasadach.

Bezpośrednio można utworzyć zasady za pomocą Pliku i nowy menu, a następnie zapisać je w pliku.Dzięki temu można tworzyć zasady, gdy nie jest połączony z wystąpienie Aparat baz danych.

Historia zasad polityki oceniane w bieżącym wystąpienie z Aparat baz danych jest utrzymywana w msdb tabele systemowe.Historia zasad dla zasady stosowane do innych wystąpień Aparat baz danych lub zastosowane do Reporting Services lub Usługi Analysis Services nie jest zachowywane.Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z zasady zarządzania opartego na zasadach.

Konfigurowanie alertów do powiadamiania administratorów zasad polityki awarii

Gdy zasady zarządzania opartego na zasadach są wykonywane w jednym z trzech trybów oceny zautomatyzowane, jeśli występuje naruszenie zasad, jest zapisywany komunikat zdarzenie dziennika.Powiadomienia, gdy wiadomość jest zapisywana na zdarzenie dziennika, można utworzyć alert do wykrywania wiadomości i wykonywania akcja.Alert powinny wykrywać wiadomości, jak pokazano w poniższej tabela.

Tryb wykonywania	Liczba wiadomości
Zmiany: zapobieganie (Jeśli automatyczne)	34050
Zmiany: zapobieganie (Jeśli na żądanie)	34051
Zgodnie z harmonogramem	34052
Zmiany	34053

Aby zestaw alert odpowiadać na komunikaty o błędach Zarządzanie oparte na zasadach, zobacz następujące tematy:

Uwagi dodatkowe alerty — informacje

Należy pamiętać o następujących dodatkowe zagadnienia dotyczące alertów:

Alerty są wywoływane tylko dla zasad, które są włączone.Ponieważ na żądanie nie można włączyć zasady, alerty nie są wywoływane dla zasad, które są wykonywane na żądanie.
Jeśli chcesz podjąć akcja obejmuje wysłanie wiadomości e-mail, należy skonfigurować konto pocztowe.Zaleca się, aby korzystać z poczty bazy danych.Aby uzyskać więcej informacji dotyczących sposobu zestaw poczty bazy danych, zobacz Jak Tworzenie bazy danych kont pocztowych (Transact-SQL).
Alert zabezpieczeń:

Gdy zasady są oceniane na żądanie, one wykonać w kontekście zabezpieczeń użytkownika.Aby zapisać dziennik błędów, użytkownika, trzeba mieć uprawnienia ALTER śledzenia lub być element członkowski z sysadmin stałe roli serwera.Nie zapisze zasady, które są oceniane przez użytkownika z uprawnieniami mniej zdarzenie logowania i nie zostanie wyzwolony alert.

Tryby wykonać zautomatyzowane wykonywanie jako element członkowski sysadmin rolę.Umożliwia to zasady do zapisu do dziennik błędów i podnieść alert.

Zabezpieczenia

Administrowanie oparte na zasadach zarządzania wymaga członkostwa w PolicyAdministratorRole rolę w msdb bazy danych.Ta rola ma pełną kontrolę wszystkich zasad systemu.Kontrola ta obejmuje tworzenie i edytowanie zasady i warunki oraz włączanie i wyłączanie zasady.

Uwaga dotycząca zabezpieczeń
Możliwe podniesienie poświadczenia: Użytkownicy w PolicyAdministratorRole roli można tworzyć wyzwalacze serwera i harmonogram wykonania zasad wpływające na działanie wystąpienie Aparat baz danych.Na przykład PolicyAdministratorRole można utworzyć zasadę, która może uniemożliwić większości obiektów w Aparat baz danych.Ze względu na to możliwe podniesienie poświadczenia PolicyAdministratorRole rolę powinny być przyznane tylko użytkownicy z kontrolowanie konfiguracja zaufanych Aparat baz danych.

Możliwe podniesienie poświadczenia: Użytkownicy w PolicyAdministratorRole roli można tworzyć wyzwalacze serwera i harmonogram wykonania zasad wpływające na działanie wystąpienie Aparat baz danych.Na przykład PolicyAdministratorRole można utworzyć zasadę, która może uniemożliwić większości obiektów w Aparat baz danych.Ze względu na to możliwe podniesienie poświadczenia PolicyAdministratorRole rolę powinny być przyznane tylko użytkownicy z kontrolowanie konfiguracja zaufanych Aparat baz danych.

Stosuje się następujące zasady zabezpieczeń:

Administrator systemu lub właściciel bazy danych można subskrybować bazy danych zasad lub zasad grupy.
Członkowie PolicyAdministratorRole roli można włączyć lub wyłączyć zasady.

Członkowie PolicyAdministratorRole można utworzyć zasady, które nie mają uprawnienia do wykonać ad hoc, ale może być pomyślne uruchomienie zasad przez innych użytkowników, które mają wystarczające uprawnienia.

Uwaga dotycząca zabezpieczeń
Możliwe podniesienie poświadczenia: Użytkownicy w PolicyAdministratorRole roli można utworzyć zasady, zawierające warunek, który używa ExecuteSql lub ExecuteWql funkcji.Jeśli użytkownik, który ma sysadmin uprawnienia później wykonuje zasad, Transact-SQL dostarczanym przez Administrator zasad zostaną wykonane z sysadmin uprawnień użytkownika, który jest wykonywany go

Zasady ad hoc wykonywany w kontekście zabezpieczeń użytkownika.
Zasady, które mają z harmonogramem tryb oceny, użyj SQL Server zadania agenta, będące własnością sa logowania.

Zagadnienia dotyczące korzystania z zarządzania opartego na zasadach

Należy pamiętać, że zasady może wpływać na sposób niektóre SQL Server funkcje pracy.Na przykład zmienić przechwytywania danych i replikacja transakcyjna używają systranschemas tabela, która nie ma indeksu.Włączenie zasady, że wszystkie tabele muszą mieć indeks przestrzegania zgodności zasad spowoduje, że te funkcje nie powiedzie się.