PowerProtect Data Manager SQL: Як налаштувати необхідні привілеї/дозволи для службових і системних облікових записів
Summary: У наведеній нижче статті описано необхідні привілеї та дозволи, які мають бути надані службовим обліковим записам і системним обліковим записам для успішних операцій резервного копіювання та відновлення SQL PPDM. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
При спробі захистити SQL-сервери за допомогою агента SQL PPQDM необхідно надати такі привілеї:Необхідні дозволи
користувача Windows Створіть локальний або доменний обліковий запис користувача Windows і призначте такі ролі:
● Користувач домену, доданий до локальної групи користувачів «Адміністратори».
● Тільки для автономного сервера:
○ Для резервного копіювання та відновлення на рівні таблиці призначте адміністративні привілеї.
○ Для резервного копіювання та відновлення на рівні бази даних призначте такі дозволи:
■Додайте користувача до політики «Створення глобальних об'єктів» Windows.
■Для всіх екземплярів Microsoft SQL Server на хості, які будуть захищені, призначте такі дозволи папці даних і журналів бази даних:
-Читати
Призначте дозволи для всіх шляхів, де зберігаються бази даних, включно з папкою даних і журналів за промовчанням інсталяції Microsoft SQL Server. Папка даних і журналів за промовчанням може знаходитися в папці інсталяції Microsoft SQL Server. Наприклад, для Microsoft SQL Server 2012 папкою за замовчуванням є C:\Program Files\Microsoft SQL Server\MSSQL12. MSSQLSERVER\MSSQL\.
● Лише для групи доступності «Завжди ввімкнено»:
○ Локальний обліковий запис користувача, доданий до групи користувачів «Адміністратори» на кожному вузлі кластера. Ім'я користувача та пароль мають бути однаковими на кожному вузлі.
ПРИМІТКА: Для групи доступності "Завжди ввімкнено", "Відмовостійкого екземпляра кластера" або "Завжди ввімкнено" відмовостійкого екземпляра кластера, якщо ви використовуєте створений обліковий запис (обліковий запис, який не є вбудованим адміністратором Windows), потрібно запустити засіб, у якому виконується резервне копіювання або відновлення з розширеними дозволами (запуск від імені адміністратора).
Обов'язкові ролі Microsoft SQL Server
● сисадмін●
публічний
Налаштування привілеїв системного адміністратора для хостів
Microsoft SQL ServerЩоб увімкнути інтеграцію з PowerProtect Data Manager на кожному хості Microsoft SQL Server, переконайтеся, що обліковий запис ОС бази даних або обліковий запис NT AUTHORITY\SYSTEM на кожному хості має необхідні привілеї системного адміністратора.
Перш ніж зареєструвати будь-який хост Microsoft SQL Server у диспетчері даних PowerProtect, установіть необхідні привілеї системного адміністратора, виконавши одну з двох наведених нижче процедур на кожному хості Microsoft SQL Server.
Встановлення привілеїв сисадміна для облікового запису ОС бази даних
За промовчанням агент програми Microsoft використовує обліковий запис SYSTEM для виявлення ресурсів. Однак для цього потрібно надати обліковому запису SYSTEM роль системного адміністратора Microsoft SQL Server, яка може не відповідати вимогам корпоративної безпеки. Крім того, ви можете виконати наведену нижче процедуру, щоб використовувати домен або локальний обліковий запис користувача для виявлення активів. Якщо вибрати параметр Використовувати облікові дані як для виявлення ресурсів, так і для резервного копіювання, як описано нижче, конфігурація для використання домену або локального облікового запису користувача централізовано керується з диспетчера даних PowerProtect.
ПРИМІТКИ: Ця процедура підтримується лише для вузла, на якому встановлено агент програми версії 19.11 або новішої.
Виконайте наступні кроки, щоб переконатися, що обліковий запис ОС бази даних на кожному хості має привілеї системного адміністратора.
1. Увійдіть до кожної інсталяції Microsoft SQL Server, відкрийте SQL Server Management Studio (SSMS) і виберіть пункт Переглянути > провідник об'єктів.
2. У Провіднику об'єктів розгорніть розділ Безпека, а потім розгорніть Логіни.
3. Клацніть правою кнопкою миші ім'я облікового запису ОС бази даних і виберіть пункт Властивості.
4. У вікні «Властивості входу» виберіть «Ролі сервера».
5. Виберіть sysadmin у розділі Ролі сервера.
6. Натисніть кнопку «OK».
Закриється вікно Властивості входу.
7. В інтерфейсі користувача диспетчера даних PowerProtect виберіть «Джерела ресурсів інфраструктури > », а потім перейдіть на вкладку SQL.
8. Виберіть потрібне ім'я хоста у списку та натисніть кнопку Редагувати облікові дані.
9. На сторінці «Установити облікові дані» вкажіть облікові дані ОС бази даних і виберіть параметр Використовувати облікові дані як для виявлення активів, так і для резервного копіювання.
ПРИМІТКИ: На сторінці Установити облікові дані параметр Використовувати облікові дані як для виявлення ресурсів, так і для резервного копіювання не з'являється, якщо для параметра облікових даних ОС бази даних встановлено значення Немає або випуск агента програми старіший за 19.11.
10. Натисніть Зберегти.
Встановлення привілеїв системного адміністратора для облікового запису
NT AUTHORITY\SYSTEMВиконайте наступні кроки, щоб переконатися, що обліковий запис NT AUTHORITY\SYSTEM на кожному хості має привілеї системного адміністратора.
1. Увійдіть до кожної інсталяції Microsoft SQL Server, відкрийте SQL Server Management Studio (SSMS) і виберіть пункт Переглянути > провідник об'єктів.
2. У Провіднику об'єктів розгорніть розділ Безпека, а потім розгорніть Логіни.
3. Клацніть правою кнопкою миші NT AUTHORITY\SYSTEM і виберіть пункт Властивості.
4. У вікні «Властивості входу» виберіть «Ролі сервера».
5. Виберіть системний адміністратор і публічний у розділі Ролі сервера.
6. Натисніть кнопку «OK».
Закриється вікно Властивості входу.
Обов'язкові привілеї для резервного копіювання
T-SQLЩоб увімкнути резервне копіювання Application Direct за допомогою сценаріїв Transact-SQL (T-SQL) за допомогою агента програми Microsoft, потрібні спеціальні дозволи доступу. Користувач служби SQL Agent Service повинен мати дозволи на читання та запис у каталозі інсталяції агента програми Microsoft, який за замовчуванням є C:\Program Files\DPSAPPS\MSAPPAGENT.
користувача Windows Створіть локальний або доменний обліковий запис користувача Windows і призначте такі ролі:
● Вбудований адміністратор Windows.
● Користувач домену, доданий до локальної групи користувачів «Адміністратори».
● Тільки для автономного сервера:
○ Для резервного копіювання та відновлення на рівні таблиці призначте адміністративні привілеї.
○ Для резервного копіювання та відновлення на рівні бази даних призначте такі дозволи:
■Додайте користувача до політики «Створення глобальних об'єктів» Windows.
■Для всіх екземплярів Microsoft SQL Server на хості, які будуть захищені, призначте такі дозволи папці даних і журналів бази даних:
-Читати
-Написати
- Список вмісту папки
Призначте дозволи для всіх шляхів, де зберігаються бази даних, включно з папкою даних і журналів за промовчанням інсталяції Microsoft SQL Server. Папка даних і журналів за промовчанням може знаходитися в папці інсталяції Microsoft SQL Server. Наприклад, для Microsoft SQL Server 2012 папкою за замовчуванням є C:\Program Files\Microsoft SQL Server\MSSQL12. MSSQLSERVER\MSSQL\.
● Лише для групи доступності «Завжди ввімкнено»:
○ Локальний обліковий запис користувача, доданий до групи користувачів «Адміністратори» на кожному вузлі кластера. Ім'я користувача та пароль мають бути однаковими на кожному вузлі.
ПРИМІТКА: Для групи доступності "Завжди ввімкнено", "Відмовостійкого екземпляра кластера" або "Завжди ввімкнено" відмовостійкого екземпляра кластера, якщо ви використовуєте створений обліковий запис (обліковий запис, який не є вбудованим адміністратором Windows), потрібно запустити засіб, у якому виконується резервне копіювання або відновлення з розширеними дозволами (запуск від імені адміністратора).
Обов'язкові ролі Microsoft SQL Server
Призначте користувачеві такі ролі Microsoft SQL Server:
● сисадмін●
публічний
Налаштування привілеїв системного адміністратора для хостів
Microsoft SQL ServerЩоб увімкнути інтеграцію з PowerProtect Data Manager на кожному хості Microsoft SQL Server, переконайтеся, що обліковий запис ОС бази даних або обліковий запис NT AUTHORITY\SYSTEM на кожному хості має необхідні привілеї системного адміністратора.
Перш ніж зареєструвати будь-який хост Microsoft SQL Server у диспетчері даних PowerProtect, установіть необхідні привілеї системного адміністратора, виконавши одну з двох наведених нижче процедур на кожному хості Microsoft SQL Server.
Встановлення привілеїв сисадміна для облікового запису ОС бази даних
За промовчанням агент програми Microsoft використовує обліковий запис SYSTEM для виявлення ресурсів. Однак для цього потрібно надати обліковому запису SYSTEM роль системного адміністратора Microsoft SQL Server, яка може не відповідати вимогам корпоративної безпеки. Крім того, ви можете виконати наведену нижче процедуру, щоб використовувати домен або локальний обліковий запис користувача для виявлення активів. Якщо вибрати параметр Використовувати облікові дані як для виявлення ресурсів, так і для резервного копіювання, як описано нижче, конфігурація для використання домену або локального облікового запису користувача централізовано керується з диспетчера даних PowerProtect.
ПРИМІТКИ: Ця процедура підтримується лише для вузла, на якому встановлено агент програми версії 19.11 або новішої.
Виконайте наступні кроки, щоб переконатися, що обліковий запис ОС бази даних на кожному хості має привілеї системного адміністратора.
1. Увійдіть до кожної інсталяції Microsoft SQL Server, відкрийте SQL Server Management Studio (SSMS) і виберіть пункт Переглянути > провідник об'єктів.
2. У Провіднику об'єктів розгорніть розділ Безпека, а потім розгорніть Логіни.
3. Клацніть правою кнопкою миші ім'я облікового запису ОС бази даних і виберіть пункт Властивості.
4. У вікні «Властивості входу» виберіть «Ролі сервера».
5. Виберіть sysadmin у розділі Ролі сервера.
6. Натисніть кнопку «OK».
Закриється вікно Властивості входу.
7. В інтерфейсі користувача диспетчера даних PowerProtect виберіть «Джерела ресурсів інфраструктури > », а потім перейдіть на вкладку SQL.
8. Виберіть потрібне ім'я хоста у списку та натисніть кнопку Редагувати облікові дані.
9. На сторінці «Установити облікові дані» вкажіть облікові дані ОС бази даних і виберіть параметр Використовувати облікові дані як для виявлення активів, так і для резервного копіювання.
ПРИМІТКИ: На сторінці Установити облікові дані параметр Використовувати облікові дані як для виявлення ресурсів, так і для резервного копіювання не з'являється, якщо для параметра облікових даних ОС бази даних встановлено значення Немає або випуск агента програми старіший за 19.11.
10. Натисніть Зберегти.
Встановлення привілеїв системного адміністратора для облікового запису
NT AUTHORITY\SYSTEMВиконайте наступні кроки, щоб переконатися, що обліковий запис NT AUTHORITY\SYSTEM на кожному хості має привілеї системного адміністратора.
1. Увійдіть до кожної інсталяції Microsoft SQL Server, відкрийте SQL Server Management Studio (SSMS) і виберіть пункт Переглянути > провідник об'єктів.
2. У Провіднику об'єктів розгорніть розділ Безпека, а потім розгорніть Логіни.
3. Клацніть правою кнопкою миші NT AUTHORITY\SYSTEM і виберіть пункт Властивості.
4. У вікні «Властивості входу» виберіть «Ролі сервера».
5. Виберіть системний адміністратор і публічний у розділі Ролі сервера.
6. Натисніть кнопку «OK».
Закриється вікно Властивості входу.
Обов'язкові привілеї для резервного копіювання
T-SQLЩоб увімкнути резервне копіювання Application Direct за допомогою сценаріїв Transact-SQL (T-SQL) за допомогою агента програми Microsoft, потрібні спеціальні дозволи доступу. Користувач служби SQL Agent Service повинен мати дозволи на читання та запис у каталозі інсталяції агента програми Microsoft, який за замовчуванням є C:\Program Files\DPSAPPS\MSAPPAGENT.
Additional Information
Products
PowerProtect App DirectArticle Properties
Article Number: 000217603
Article Type: How To
Last Modified: 29 Nov 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.