猫の国の物語 このページをアンテナに追加 RSSフィード


ペットランド


2009-04-20 何か・・・

[]SQL Server 2008 01:49

SQL Server 2008のサービスアカウント

http://msdn.microsoft.com/ja-jp/library/cc281953.aspx

Windows サービス アカウントの設定

http://msdn.microsoft.com/ja-jp/library/ms143504.aspx

以下、上記のマイクロソフトホームページから気になった記述

サービス SID を使用した SQL Server サービスの構成

------

Windows Server 2008 および Windows Vista オペレーティング システム上で動作する SQL Server 2008 では、サービス セキュリティ ID (SID) を使用してサービスを分離することができます。サービスを分離すると、高い特権のアカウントでサービスを実行したり、オブジェクトのセキュリティ保護を弱めたりしなくても、特定のオブジェクトにサービスアクセスできるようになります。SQL Server サービスでは、この ID使用して、他のサービスやアプリケーションによるリソースへのアクセスを制限できます。

サービスは、サービス SID を含むアクセス制御エントリ使用してリソースをセキュリティ保護することにより、オブジェクトを分離して排他的使用できるようにします。"サービスごとの SID" と呼ばれるこの ID は、サービス名から派生するサービス固有の ID です。たとえば、SQL Server サービスサービス SID 名は NT Service\MSSQL$<InstanceName datetime="2009-04-21T01:49:07+09:00"> のようになります。SID がサービスに対して有効になると、SID は Windowsローカル セキュリティ グループに追加されます。サービスの所有者は、オブジェクトのアクセス制御リストを変更し、この SID へのアクセスを付与することができます。たとえば、通常の場合、HKEY_LOCAL_MACHINE\SOFTWARE のレジストリ キーを利用できるのは、管理者の資格情報を持つサービスだけです。サービスごとの SID をキーのアクセス制御リストに追加することで、キーへのアクセスを失わずに、より低い特権のアカウントでサービスを実行できるようになります。

インストール中に、SQL Server セットアップによって SQL Server の各コンポーネントサービス グループが作成されます。Windows Server 2003 および Windows XP で、SQL Server サービスサービス アカウントは、以前の SQL Server リリースと同様にこれらのオペレーティング システムローカル サービス グループと機能に追加されます。SQL Server サービスは、ローカル グループのメンバとして SQL Server のインスタンスに接続します。Windows Server 2008 および Windows Vista で、サービス SID は SQL Server サービス アカウントではなく、ローカル セキュリティ グループに追加されます。

------

・SQL Server サービス アカウントに作成されたアクセス制御リストの確認

------

SQL Server サービス アカウントは、リソースへのアクセス権を持っている必要があります。アクセス制御リストユーザー グループ レベルで設定されます。

重要 :

フェールオーバー クラスタのインストールの場合、共有ディスク上のリソースローカル アカウントの ACL に設定する必要があります。

------

トラックバック - http://d.hatena.ne.jp/takaneko/20090420/1240246147

Connection: close