Sécuriser le dossier d’instantanés
S’applique à :
SQL ServerAzure SQL Managed Instance
Le dossier d'instantané est un répertoire qui stocke les fichiers d'instantanés ; il vous est recommandé de dédier ce dossier au stockage des instantanés. Accordez à l'Agent d'instantané l'autorisation d'écriture sur ce dossier, et assurez-vous que l'autorisation de lecture n'est accordée qu'au compte Windows qu'utilise l'Agent de fusion ou l'Agent de distribution lorsqu'il accède à ce dossier. Pour accéder à un dossier d'instantané situé sur un ordinateur distant, le compte Windows associé à l'Agent doit être un compte de domaine.
Remarque
Le contrôle de compte d'utilisateur (UAC) aide les administrateurs à gérer leurs droits utilisateur élevés (parfois appelés privilèges). Dans les systèmes d'exploitation dans lesquels le contrôle de compte d'utilisateur est activé, les administrateurs n'utilisent pas leurs droits d'administration. À la place, ils effectuent la plupart des actions en tant qu'utilisateurs standard (non administratifs), assumant temporairement leurs droits d'administration seulement lorsque cela est nécessaire. La fonctionnalité Contrôle de compte d'utilisateur peut empêcher l'accès administratif au partage de fichiers d'instantanés. Vous devez donc octroyer explicitement des autorisations sur le partage de fichiers d'instantanés aux comptes Windows qui sont utilisés par l'Agent d'instantané, l'Agent de distribution et l'Agent de fusion. Vous devez effectuer cette opération même si les comptes Windows sont membres du groupe Administrateurs.
Lors de la configuration d’un serveur de distribution par le biais de l’Assistant Configuration de la distribution ou de l’Assistant Nouvelle publication, le dossier instantané est défini par défaut sur un chemin d’accès local : X :\Program Files\Microsoft SQL Server\<instance>\MSSQL\ReplData. Si vous utilisez un serveur de distribution distant ou des abonnements collecteurs, vous devez spécifier un partage réseau UNC (tel que \\<computername>\instantané) plutôt qu’un chemin d’accès local.
Lorsque vous accordez des autorisations d'accès au dossier d'instantané, faites-le en fonction du mode d'accès au dossier. Les onglets de boîte de dialogue suivants sont utilisés dans Microsoft Windows 2003 :
Si vous spécifiez un chemin local, accordez les autorisations dans l'onglet Sécurité de la boîte de dialogue Propriétés du dossier.
Si vous spécifiez un partage réseau, accordez les autorisations dans l'onglet Partage de la boîte de dialogue Propriétés du dossier.
Remarque
Si l'agent de réplication est exécuté sur le serveur de distribution, utilisez les options de l'onglet Sécurité (boîte de dialogue Propriétés ) du dossier pour accorder des autorisations au compte Windows servant à l'exécution de l'agent. Faites-le même si vous utilisez un partage réseau. Cette situation concerne l'Agent de fusion et l'Agent de distribution dans le cadre d'un abonnement par envoi de données (push) et l'Agent d'instantané lorsque les serveurs de publication et de distribution se trouvent sur le même ordinateur.
Pour plus d'informations sur la définition d'autorisations pour les chemins locaux et les partages réseau, consultez la documentation Windows.
Remarque
Si une publication est supprimée, la réplication tente de supprimer le dossier instantané dans le contexte de sécurité du compte de service SQL Server. Si ce compte ne détient pas les privilèges suffisants, connectez-vous à l'aide d'un compte qui dispose des bons privilèges et supprimez le dossier manuellement. La suppression d'un dossier nécessite le privilège Modification si le dossier a un chemin local, et le privilège Contrôle total si le dossier a un chemin réseau.
Remise d'instantanés via FTP
Une pratique de sécurité vous recommande de stocker les instantanés dans un partage UNC, mais ils peuvent également être stockés dans un partage FTP puis remis à un Abonné via FTP. Lors de la configuration du serveur FTP, assurez-vous que le répertoire virtuel expose un partage UNC sous-jacent qui accorde à l'Agent d'instantané un accès en écriture pour la publication.
Pour configurer un Abonné pour qu'il récupère l'instantané via FTP, commencez par configurer un serveur FTP avec un nom de connexion et un mot de passe FTP donnant aux Abonnés un accès en lecture (ou accès « get ») pour leur permettre de télécharger les fichiers d'instantanés.
Pour remettre des instantanés via FTP, consultez Remettre un instantané via FTP.
Pour plus d'informations sur la définition et la modification du mot de passe d'accès aux instantanés via FTP, consultez la section « Remise d'instantanés via FTP » dans Secure the Publisher.
Voir aussi
Modifier les options d’instantané
Initialiser un abonnement avec un instantané
Bonnes pratiques en matière de sécurité de la réplication
Afficher et modifier les paramètres de sécurité de la réplication
Transférer des instantanés via FTP
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour