SQL Server Kör som-profiler

Hanteringspaket för SQL Server innehåller följande Kör som-profiler:

• kör som-profil för Microsoft SQL Server identifiering

  Den här profilen är associerad med befintliga identifieringar.

• Microsoft SQL Server Övervakning – Kör som-profil

  Den här profilen är associerad med befintliga övervakare och regler.

• Microsoft SQL Server kör som-profil för aktivitet

  Den här profilen är associerad med befintliga aktiviteter.

• Microsoft SQL Server kör som-profil för SCOM SDK

  Den här profilen är avsedd för SQL Server MP-arbetsflöden som behöver åtkomst till System Center Operations Manager SDK.

  Hanteringspaket för SQL Server behöver en uppsättning behörigheter för System Center Operations Manager SDK för att skapa ett hanteringspaket och lagra åsidosättningar i det.

  Om standardåtgärdskontot på System Center Operations Manager inte har dessa behörigheter skapar du ett sådant konto och mappar det till kör som-profilen för Microsoft SQL Server SDK.

• kör som-profil för Microsoft SQL Server SQL-autentiseringsuppgifter

  Den här profilen används endast för övervakningsläge utan agent .

Anteckning

Bind inte konton till kör som-profilen för Microsoft SQL Server SQL-autentiseringsuppgifter om du övervakar SQL Server i agentlägen eller blandade övervakningslägen eftersom endast ett grundläggande åtgärdskonto kan bindas till den här profilen. Använd inte heller ett Windows konto eller ett icke-grundläggande konto med den här profilen.

När du använder agentläge eller blandat övervakningsläge använder alla identifieringar, övervakare och uppgifter konton från Kör som-profilen för standardåtgärdskontot .

Om standardåtgärdskontot för ett visst system inte har nödvändiga behörigheter för att identifiera och övervaka instanser av SQL Server, kan sådana system bindas till mer specifika autentiseringsuppgifter som definierats i Microsoft SQL Server Kör som-profiler.

Mer information om Kör som-konton finns i Hantera Kör som-konton och -profiler

Aktivera tillåt lokal inloggningssäkerhetsprincip

Om domänkontot används som ett åtgärdskonto aktiverar du principen Tillåt inloggning lokalt på både SQL Server på Windows och SQL Server på Linux.

Lägen för agent och blandad övervakning

Om du vill konfigurera Kör som-profiler använder du något av följande scenarier:

• Åtgärdskontot är lokal administratör och SA

• Åtgärdskontot är lokal administratör w/o SA

• Åtgärdskontot är lokalt system med SA

Åtgärdskontot är lokal administratör och SA

Ett System Center Operations Manager-standardåtgärdskonto mappas till ett lokalt systemkonto eller ett domänanvändarkonto som är medlem i den lokala administratörsgruppen på de övervakade datorerna.

Det konto som du använder måste beviljas sql-systemadministratörsbehörighet (SA) för de övervakade SQL Server-instanserna.

Ett domänanvändarkonto kan beviljas SA-rättigheter genom att ge dem till den lokala gruppen BUILTIN\Administrators i SQL Server säkerhetsåtkomstlista. I det här fallet fungerar övervakning av SQL Server instanser direkt, förutom vissa konfigurationer som beskrivs nedan.

Följ de här stegen för att säkerställa att alla krav är uppfyllda:

• Om du lagrar SQL Server databaser på en SMB-filresurs måste standardåtgärdskontot ha rättigheterna, enligt beskrivningen i Övervakning av lågprivilegier.

• Om servrar som är värdar för AlwaysOn-tillgänglighetsrepliker (minst en av dem) har ett datornamn som består av fler än 15 tecken, måste du utföra stegen som beskrivs i Övervakning av tillgänglighetsgruppen på Windows servrar med långa namn.

Åtgärdskontot är lokal administratör w/o SA

Ett System Center Operations Manager-standardåtgärdskonto mappas till antingen lokalt systemkonto eller domänanvändarkonto, men SA-rättigheter kan inte beviljas till det här kontot på grund av säkerhetsprinciper.

Om säkerhetsprincipen tillåter att SA-rättigheter beviljas till det separata domänanvändarkonto som används för att starta SQL Server MP-arbetsflöden utför du följande steg:

1. Skapa ett nytt domänanvändarkonto och lägg till det här kontot i gruppen Lokala administratörer på varje övervakad server.

2. Bevilja SA-rättigheter till det här kontot på SQL Server.

3. Skapa ett nytt åtgärdskonto i System Center Operations Manager och mappa det här kontot till domänanvändarkontot som skapades ovan.

4. Mappa det nya åtgärdskontot till alla SQL Server MP Kör som-profiler.

Om du lagrar SQL Server databaser på en SMB-filresurs måste standardåtgärdskontot ha rättigheterna, enligt beskrivningen i Övervakning av lågprivilegier.

Åtgärdskontot är lokalt system med SA

[Det här scenariot gäller endast agentövervakningsläge.]

Ett System Center Operations Manager-standardåtgärdskonto mappas till antingen lokalt systemkonto eller domänanvändarkonto, men SA-rättigheter kan inte beviljas till det här kontot på grund av säkerhetsprinciper som förbjuder åtkomst till SQL Server.

Du kan bevilja SA- eller lågprivilegier till System Center Operations Manager HealthService med hjälp av dess servicesäkerhetsidentifierare. Mer information finns i SQL Server använder ett tjänst-SID för att tillhandahålla tjänstisolering.

Följ dessa steg för att konfigurera säkerhetskonfigurationen med sid:

1. Konfigurera ett tjänst-SID för HealthService enligt beskrivningen i Tjänst-SID.

2. Om du har SQL Server klusterinstanser utför du stegen i Tjänst-SID för SQL Server klusterinstanser och tillgänglighetsgruppen.

Övervakningsläge utan agent

Om du vill konfigurera Kör som-profiler i övervakningsläge utan agent skapar du ett konto på SQL Server och beviljar kontot SA-rättigheter eller en uppsättning behörigheter med låg behörighet. Du kan använda SQL Server autentisering eller Windows autentisering. När det har skapats kan du använda det här kontot i guiden Lägg till övervakning för att lägga till SQL Server instanser.

Mer information om hur du konfigurerar övervakning med låg behörighet i övervakningsläge utan agent finns i Övervakning med låg behörighet.

Övervakning av tillgänglighetsgruppen på Windows servrar med långa namn

Oavsett om du använder ett lokalt systemkonto, domänanvändarkonto eller rättighetstilldelning krävs behörigheter som anges nedan.

Exempel: Du har tre repliker i tillgänglighetsgruppen som finns på följande datorer:

• Computer_1
• Computer_2
• Computer_3

Computer_1 är värd för den primära repliken. I det här fallet bör du konfigurera säkerhetsinställningar för Computer_1 på Computer_2 och Computer_3. Om Computer_2 ska vara värd för den primära repliken efter redundansväxlingen bör även WMI-säkerhet konfigureras för den här datorn på andra datorer.

Det lokala systemkontot för varje nod som kan fungera som den primära måste ha WMI-behörigheter för andra noder i den aktuella tillgänglighetsgruppen. Samma sak gäller för domänåtgärdskontot.

Nedan visas stegen för att konfigurera säkerhet för konfigurationer med det lokala systemkontot. Den angivna instruktionen tyder på att SQLAON-020-datorn är värd för den primära repliken. Dessa steg bör vidtas på varje replik som deltar i måltillgänglighetsgruppen.

Utför följande steg för att konfigurera behörigheter för AlwaysOn-arbetsflöden när servernamnen överskrider 15 tecken:

1. Starta mmc.exe och lägg till följande snapin-moduler:

   • Komponenttjänster
   • WMI-kontroll (för lokal dator)

2. Expandera Komponenttjänster, högerklicka på Min dator och välj Egenskaper.

3. Öppna fliken COM-säkerhet .

4. I avsnittet Start- och aktiveringsbehörigheter klickar du på Redigera gränser.

   

5. I fönstret Start- och aktiveringsbehörighet aktiverar du följande behörigheter för fjärrdatorkontot:

   • Fjärrstart
   • Fjärraktivering

   

6. Öppna snapin-modulegenskaper för WMI-kontroll , gå till fliken Säkerhet , välj namnområdet Root\CIMV2 och klicka på Säkerhet.

7. Tillåt följande behörigheter för måldatorn:

   • Aktivera konto
   • Fjärraktivering

   

8. Klicka på Avancerat, välj ett målkonto och klicka på Redigera.

9. I listrutan Gäller för väljer du Endast det här namnområdet.

10. I avsnittet Behörigheter aktiverar du följande kryssrutor:

    • Aktivera konto
    • Fjärraktivering