在安装类型对话框中,安装向导要求你在3个安装类型中作选择:典型、最小和自定义。假如你选择典型或者最小,SQL Server对组件和子组件、排序规则和网络库都使用默认选项。因为典型安装会潜在地引起棘手的问题,我强烈建议始终选择自定义——即使你认为默认满足你的安装需求。一些以前提及的选项——非凡是排序规则——在安装后假如发现不满足需求是非常难以更改的。自定义安装让你再次检查那些选项。
安全
在安装过程中,你在2个对话框中说明和安全相关的信息:服务账号和验证模式。在服务账号对话框里,你填入SQL Server和SQL Server Agent服务的服务账号细节。每个服务使用在对话框中说明的账号来被操作系统调入,并且在操作系统中运行于这个账号的安全上下文里。比如:当你备份到一个磁盘设备,SQL Server检查你用来登录到SQL Server的登录是否具有适当的“备份数据库”权限。然而,创建备份文件设备并写入,SQL Server必须在磁盘或者网络共享中创建一个文件,这个操作使用SQL Server服务账号的安全上下文。
同样的,SQL Server Agent服务在SQL Server Agent服务账号的安全上下文下在SQL Server、操作系统或网络中运行过程。虽然一个在本机不具有治理权限的账号可以启动SQL Server 服务,把SQL Server 服务账号加入到本地治理员组是个好主意。否则,你需要额外地把所有所需的权限授权给该帐号,还需要授权该帐号合适的网络权限。
而假如你试图通过一个机器上不具有治理员权限的服务账号来启动SQL Server Agent,它甚至无法启动。而且假如SQL Server Agent在网络上的其他机器上执行操作,比如复制或者多服务器工作,你应该使用一个在其他机器上具有适当权限的域账号。比如在一个包含3台SQL Server机器的单域多服务器环境中,一台主服务器控制目标服务器上的自动活动。因为双方(主服务器和目标服务器)需要相互通讯,你需要确保主服务器上的SQL Server Agent服务账号在目标服务器上具有适当的权限,反之亦然。配置这样一个环境的最简便方法就是创建一个域账号,使它在所有服务器上成为本地治理员组的成员,并且通过该帐号来调用所有的SQL Server Agent服务。
在身份验证模式对话框中,你可以选择是否只答应Windows身份验证登录(Windows身份验证模式)或者Windows和SQL Server两者登录(混合模式)。你也可以为sa(System Administrator)的SQL Server登录指定一个密码。Windows身份验证模式是默认的和最常用的推荐安全模式。然而,为安全起见,我建议你选择混合模式并且为sa账号提供一个密码,在安装完成和处理完一些其他的安全项目后,再把验证模式改为Windows身份验证模式。假如你选择Windows身份验证模式作为你的服务器的安全模式,安装过程把sa登录创建为无效并且没有密码(因为SQL Server身份验证模式是无效的)。你可以在安装后更改sa的密码——我强烈建议你这么做——但是一开始就选择Windows身份验证模式是危险的,因为你可能忘了更改密码或者使用空密码,以为sa已经失效。
无论你选择何种模式,安装程序都为BUILTIN\Administrators组创建一个Windows身份验证的登录,它映射到本地机器的治理员组。这个登录的创建意味着所有本地治理员组的成员,包括域组域治理员,都是你的SQL Server的系统治理员(sysadmin)角色的成员。给予网络和本地治理员在SQL Server上的毫无限制的权限并不总是一个好主意,因为这引入了安全风险,这样一来你可能决定从SQL Server 的sysadmin角色中移除BUILTIN\Administrators,或者你可能从SQL Server中完全移去这些自动创建的登录而为DBA成员组用sysadmin身份创建一个登录——不是网络治理员。
假如你决定遵从上述这些建议,这样做就够了:首先,为DBA成员组用sysadmin身份创建一个登录,然后删除BUILTIN\Administrators登录。假如你的服务器的身份验证模式时Windows而且你在为DBA创建登录以前删除所有具有sysadmin资格的登录,你会发现你自己被锁在了SQL Server之外,无法执行治理任务——如:创建新的登录。假如你落入了这个陷阱,你仍然可以通过把注册表HKEY_LOCAL_MACHINE OFTWARE\Microsoft\Microsoft SQL Server\实例名\MSSQLServer\LoginMode的键值更改为2,来把SQL Server身份验证的模式改为混合模式,修改好后重新启动SQL Server服务即可。
评论加载中…
 |