Share via

Доменные группы для служб, поддерживающих работу в кластере

  • Статья

Изменения: 12 декабря 2006 г.

На странице Доменные группы для служб, поддерживающих работу в кластере мастера установки Microsoft SQL Server указываются глобальные или локальные доменные группы для служб, поддерживающих работу в кластере, которые будут установлены в составе отказоустойчивого кластера SQL Server 2005.

Чтобы гарантировать безопасность среды, доступ к ресурсам в узлах отказоустойчивого кластера должен быть ограничен.В отказоустойчивом кластере SQL Server 2005 группы домена должны быть общими для всех узлов кластера, которые используются для управления доступа к разделам реестра, файлам, объектам SQL Server и другим ресурсам кластера.Управление разрешениями на все ресурсы производится на уровне групп домена, в которые входит учетная запись службы SQL Server.

Добавление групп домена — это одна из основных обязанностей администратора домена.Убедитесь, что все группы домена для отказоустойчивого кластера SQL Server 2005 созданы или изменены с учетом политики безопасности вашей организации.

Параметры

Служба SQL Server, служба агента SQL Server, служба Analysis Services и служба компонента Full-Text Search должны быть запущены под учетной записью домена.Группы домена для этих служб должны существовать на момент запуска программы установки SQL Server. При необходимости выясните у администратора домена имена существующих глобальных или локальных групп домена или попросите создать группы домена для отказоустойчивого кластера.

Для каждой службы, поддерживающей работу в кластере, в устанавливаемом экземпляре SQL Server введите имя домена и группы в формате <Имя_домена>\<Имя_группы>, придерживаясь следующих правил.

  • Доменные группы могут быть глобальными или локальными.
  • Группы домена должны находиться в том же домене, что и учетные записи компьютера.Например, если компьютер, на котором будет установлен SQL Server, находится в домене SQLSVR, а его родителем является MYDOMAIN, группу необходимо определять в домене SQLSVR.Домен SQLSVR может содержать учетные записи пользователей MYDOMAIN.
  • Пользователь должен быть прямым членом группы домена, а не входить в нее через подгруппы.Программа установки не исследует членство в подгруппах при проверке учетной записи пользователя в группе домена.
  • Имя домена и группы домена должны существовать на момент запуска программы установки.При необходимости выясните у администратора домена имена существующих доменных групп или попросите создать доменные группы для отказоустойчивого кластера.Если группы домена созданы непосредственно перед запуском программы установки, подождите некоторое время, пока изменения распространятся по сети предприятия.
  • К группам домена должны быть добавлены соответствующие учетные записи служб.Если учетные записи служб не являются членами соответствующих групп домена на момент запуска программы установки, то она попытается добавить их самостоятельно.В этом случае учетная запись, от которой запускается программа установки, должна иметь соответствующие права доступа для добавления учетных записей в группы домена.Если программа установки SQL Server запускается от учетной записи, которая не имеет прав на добавление пользователей в группы домена, пользователи уже должны быть членами соответствующей группы.
  • Каждая служба должна использовать свою доменную группу.Но для всех служб SQL Server можно использовать одну учетную запись и одну группу домена, либо одну группу домена и разные учетные записи, либо разные группы домена и разные учетные записи.Для оптимальной детализации разрешений пользуйтесь различными учетными записями и различными группами домена для каждой службы SQL Server и каждого виртуального сервера, которые имеются в домене.
  • Доменные группы SQL Server не могут совместно использоваться несколькими приложениями.

Обратите внимание на то, что для диагностики проблем с группами домена необходим доступ к контроллеру домена.

Учетные записи SQL Server не будут удалены из групп домена при отмене установки SQL Server или при изменении учетных записей.Администратор домена должен проследить за тем, чтобы после удаления SQL Server были удалены и ненужные учетные записи.

См. также

Основные понятия

Подготовка к установке отказоустойчивого кластера

Справка и поддержка

Получение помощи по SQL Server 2005

Журнал изменений

Версия Журнал

12 декабря 2006 г.
Измененное содержимое:
  • Добавлено указание на то, что группы домена для служб, поддерживающих работу в кластере, могут быть глобальными или локальными.