叢集服務的網域群組
更新: 2006 年 12 月 12 日
您可以利用 Microsoft SQL Server 安裝精靈的 [叢集服務的網域群組] 頁面,來指定要安裝為 SQL Server 2005 容錯移轉叢集之一部分的叢集服務的全域或本機網域群組。
若要確定作業環境的安全,則必須限制容錯移轉叢集節點上之資源的存取權。在 SQL Server 2005 容錯移轉叢集上,會使用所有叢集節點共用的網域群組來控制登錄機碼、檔案、SQL Server 物件和其他叢集資源的存取權。所有資源權限是由網域層級的群組所控制,而此類群組將 SQL Server 服務帳戶併入為成員。
加入網域群組是網域管理員的其中一個主要責任。請確定是在考量過您組織的安全性原則下,建立或修改 SQL Server 2005 容錯移轉叢集的所有網域群組。
選項
SQL Server 服務、SQL Server Agent 服務、Analysis Services 服務和全文檢索搜尋服務必須以網域帳戶的身分執行。執行 SQL Server 安裝程式時,必須要有這些服務的網域群組。必要的話,請詢問您的網域管理員以取得現有全域或本機網域群組的名稱,或為您的容錯移轉叢集建立網域群組。
針對您要安裝之 SQL Server 執行個體的每個叢集服務,輸入網域和群組名稱,格式如下: <DomainName>\<GroupName>,並應遵守下列方針:
- 網域群組可以是全域網域群組或本機網域群組。
- 網域群組必須與電腦帳戶位在相同的網域內。例如,如果安裝 SQL Server 的機器是在屬於 MYDOMAIN 子項的 SQLSVR 網域內,則必須指定 SQLSVR 網域中的群組。SQLSVR 網域可能會包含 MYDOMAIN 中的使用者帳戶。
- 使用者必須是網域群組的直接成員,而非其子群組的成員。安裝程式將不會遵循子群組成員資格來驗證使用者帳戶是在網域群組內。
- 執行安裝程式時,必須要有網域和網域群組名稱。必要的話,請詢問您的網域管理員以取得現有網域群組的名稱,或為您的容錯移轉叢集建立網域群組。如果是在執行安裝程式前立即建立網域群組,請留一些時間來變更透過公司網路的傳播。
- 網域群組應加入適當的服務帳戶。執行安裝程式時,如果服務帳戶不是適當網域群組的成員,則安裝程式會嘗試加入它們。在此情況下,用來執行安裝程式的帳戶,必須具有將帳戶加入網域群組的足夠權限。如果用來執行 SQL Server 安裝程式的帳戶沒有將使用者加入網域群組的權限,則使用者必須已經是適當群組的成員。
- 每項服務都應該使用不同的網域群組。然而,您可以將相同的網域群組和相同的帳戶用於所有 SQL Server 服務,也可以將相同的網域群組和不同的帳戶用於每個 SQL Server 服務,或是將不同的網域群組和不同的帳戶用於每個 SQL Server 服務。若要維護最細微的權限控制,請將不同的帳戶和不同的網域群組用於您網域中的每個 SQL Server 服務及每個虛擬伺服器。
- 不應該與任何其他應用程式共用 SQL Server 網域群組。
請注意,若要疑難排解網域群組問題,則您必須具有網域控制站的存取權。
如果已解除安裝 SQL Server,或已變更帳戶,則不會從網域群組中移除 SQL Server 帳戶。移除 SQL Server 之後,網域管理員必須確定已移除所有不想要的帳戶。
請參閱
概念
說明及資訊
變更歷程記錄
| 版本 | 歷程記錄 |
|---|---|
2006 年 12 月 12 日 |
|