Поделиться через

Профили выполнения от имени SQL Server

Пакет управления для SQL Server предоставляет следующие профили Run As:

  • Профиль запуска обнаружения Microsoft SQL Server

    Этот профиль связан с существующими открытиями.

  • Профиль выполнения от имени для мониторинга Microsoft SQL Server

    Этот профиль соединён с существующими мониторами и правилами.

  • профиль запуска от имени задачи Microsoft SQL Server

    Этот профиль связан с существующими задачами.

  • профиль Run As SDK SCOM для Microsoft SQL Server

    Этот профиль предназначен для рабочих процессов MP SQL Server, которым требуется доступ к пакету SDK System Center Operations Manager.

    Пакету управления для SQL Server необходим набор авторских привилегий в SDK System Center Operations Manager для создания пакета управления и хранения переопределений в нём.

    Если учетная запись действия по умолчанию в System Center Operations Manager не имеет этих разрешений, создайте такую учетную запись и сопоставьте ее с профилем запуска SDK Microsoft SQL Server.

  • профиль запуска от имени для учетных данных SQL Microsoft SQL Server

    Этот профиль используется только для режима мониторинга без агента .

Заметка

Не привязывайте учетные записи к учетным данным Microsoft SQL Server, если вы отслеживаете SQL Server в режиме агента или смешанного мониторинга, так как к этому профилю может быть привязана только базовая учетная запись действия. Кроме того, не используйте учетную запись Windows или не базовую учетную запись с этим профилем.

При использовании режима агента или смешанного мониторинга все находки, мониторы и задачи используют учетные записи из профиля Учетная запись действия по умолчанию для выполнения запуска от имени. Если учетная запись действия по умолчанию для данной системы не имеет необходимых разрешений для обнаружения и мониторинга экземпляров SQL Server, такие системы могут быть привязаны к более конкретным учетным данным, определенным в профилях запуска от имени для Microsoft SQL Server. Также поддерживаются групповые управляемые учетные записи служб (gMSA).

Для получения дополнительной информации об учетных записях запуска от имени смотрите раздел Управление учетными записями запуска от имени и профилями.

Включение политики безопасности "Разрешить локальный вход"

Если учетная запись домена используется в качестве учетной записи действия, включите политику Разрешить вход локально на обоих серверах SQL Server в Windows и SQL Server в Linux.

Режимы мониторинга агента и смешанного мониторинга

Чтобы настроить профили запуска от имени, используйте один из следующих сценариев:

Учетная запись действий является локальным администратором и SA.

Учетная запись действия - локальный администратор без SA

Аккаунт действия — Локальная система без SA

Учетная запись Action Account — локальный администратор и системный администратор (SA)

Учетная запись действия System Center Operations Manager по умолчанию сопоставляется с локальной системной учетной записью или любой учетной записью пользователя домена, являющейся членом группы локальных администраторов на отслеживаемых компьютерах.

Учетная запись, которую вы используете, должна иметь права системного администратора SQL (SA) на отслеживаемых экземплярах SQL Server.

Учетной записи пользователя домена могут быть предоставлены права SA, если она добавлена в локальную группу BUILTIN\Administrators в списке безопасности SQL Server. В этом случае мониторинг экземпляров SQL Server будет работать из коробки, за исключением некоторых конфигураций, описанных ниже.

Выполните следующие действия, чтобы убедиться, что выполнены все требования:

  • При хранении баз данных SQL Server на общем файловом хранилище SMB учетная запись действий по умолчанию должна иметь права, как описано в Low-Privilegeмониторинга агента.

  • В случаях, когда серверы, на которых размещены реплики доступности Always On (по крайней мере одна из них), имеют имя компьютера, состоящее из более чем 15 символов, убедитесь, что выполнены действия, описанные в разделе мониторинга группы доступности на серверах Windows с длинными именами.

Учетная запись действия — локальный администратор без SA

Учетная запись действия System Center Operations Manager по умолчанию сопоставляется с учетной записью локальной системы или учетной записью пользователя домена, но права SA не могут быть предоставлены этой учетной записи из-за политик безопасности.

Если политика безопасности разрешает предоставление прав SA отдельной учетной записи пользователя домена, используемой только для запуска рабочих процессов MP SQL Server, выполните следующие действия.

  1. Создайте учетную запись пользователя домена и добавьте эту учетную запись в группу локальных администраторов на каждом отслеживаемом сервере.

  2. Предоставьте учетной записи права администратора (SA) на SQL Server.

  3. Создайте новую учетную запись действия в System Center Operations Manager и сопоставийте эту учетную запись с учетной записью пользователя домена, созданной выше.

  4. Сопоставьте новую учетную запись действия со всеми профилями выполнения SQL Server MP.

При хранении баз данных SQL Server на общем файловом хранилище SMB учетная запись действий по умолчанию должна иметь права, как описано в Low-Privilegeмониторинга агента.

Учётная запись действий — локальная система без SA

[Этот сценарий предназначен только для режима мониторинга агента.]

Учетная запись действия System Center Operations Manager по умолчанию сопоставляется с учетной записью локальной системы или учетной записью пользователя домена, но права SA не могут быть предоставлены этой учетной записи из-за политик безопасности, которые запрещают доступ к SQL Server.

Вы можете предоставить SA или права с низким уровнем доступа к System Center Operations Manager HealthService с помощью идентификатора безопасности службы. Дополнительные сведения см. в разделе Идентификаторы безопасности.

Выполните следующие шаги, чтобы настроить конфигурацию безопасности, используя SID службы .

Режим мониторинга без агента

Чтобы настроить профили запуска от имени в режиме без агента, создайте учетную запись в SQL Server и предоставьте этой учетной записи права SA или набор разрешений с низкими привилегиями. Вы можете использовать проверку подлинности SQL Server или проверку подлинности Windows. После создания эту учетную запись можно использовать в мастере добавления мониторинга для добавления экземпляров SQL Server.

Дополнительные сведения о настройке мониторинга с низким уровнем привилегий в режиме мониторинга без агента см. в Low-Privilege мониторинга.

Мониторинг AG на серверах Windows с длинными именами

Независимо от того, используется ли учетная запись локальной системы, учетная запись пользователя домена или назначение прав, необходимы указанные ниже разрешения.

Пример: У вас в Группе доступности есть три реплики, размещенные на следующих компьютерах:

  • Computer_1
  • Компьютер_2
  • Computer_3

Computer_1 содержит первичную реплику. В этом случае необходимо настроить настройки безопасности для Computer_1 на Computer_2 и Computer_3. Если Computer_2 будет размещать первичную реплику после переключения после сбоя, другие компьютеры также должны иметь настроенную безопасность WMI для этого компьютера.

Учетная запись локальной системы каждого узла, который может выступать в качестве основного узла, должна иметь разрешения WMI для других узлов в текущей группе доступности. То же самое для аккаунта, связанного с действиями в домене.

Ниже приведены инструкции по настройке безопасности конфигураций с помощью учетной записи локальной системы. Указанная инструкция предполагает, что на компьютере computer_1 размещена первичная реплика. Эти действия необходимо выполнить для каждой реплики, участвующей в целевой группе доступности.

Чтобы настроить разрешения для рабочих процессов AlwaysOn, если имена серверов превышают 15 символов, выполните следующие действия.

  1. Запустите mmc.exe и добавьте следующие оснастки:

    • Службы компонентов
    • Элемент управления WMI (для локального компьютера)

  2. Разверните Службы компонентов, щелкните правой кнопкой мыши по "Мой компьютер"и выберите Свойства.

  3. Откройте вкладку безопасность COM.

  4. В разделе разрешений запуска и активации выберите Изменить ограниченияв секции.

    Снимок экрана с ограничениями редактирования для режима постоянной активности.

  5. В окне разрешения на запуск и активацию включите следующие разрешения для учетной записи удаленного компьютера:

    • Удаленный запуск
    • Удаленная активация

    Снимок экрана: включение разрешений удаленного компьютера.

  6. Откройте свойства оснастки элемента управления WMI, перейдите на вкладку Безопасность, выберите пространство имен Root\CIMV2 и выберитеБезопасность .

  7. Разрешить следующие разрешения для целевого компьютера:

    • Включение учетной записи
    • Удаленное включение

    Снимок экрана включения разрешений для целевой машины.

  8. Выберите Дополнительно, выберите целевую учетную запись и выберите Редактировать.

  9. В выпадающемся списке Область применения выберите Только это пространство имен.

  10. В разделе Разрешения включите следующие флажки:

    • Включение учетной записи
    • Удаленное включение

    снимок экрана: настройка разрешений CIMV.