群集服务的域组
更新日期: 2006 年 12 月 12 日
使用 Microsoft SQL Server 安装向导的**“群集服务的域组”**页,可以为要安装为 SQL Server 2005 故障转移群集一部分的群集服务指定全局或本地域组。
若要确保安全的操作环境,必须限制对故障转移群集节点中的资源的访问。在 SQL Server 2005 故障转移群集上,所有群集节点公用的域组用来控制对注册表项、文件、SQL Server 对象以及其他群集资源的访问。所有资源权限都由包括 SQL Server 服务帐户作为成员的域级组来控制。
添加域组是域管理员的主要职责之一。请确保创建或修改 SQL Server 2005 故障转移群集的所有域组时都考虑了单位的安全策略。
选项
SQL Server 服务、SQL Server 代理服务、Analysis Services 服务以及全文搜索服务必须作为域帐户运行。运行 SQL Server 安装程序时,必须存在这些服务的域组。如果需要,请向您的域管理员询问现有全局或本地域组的名称,或者为您的故障转移群集创建域组。
对于正在安装的 SQL Server 实例中的每个群集服务,请以 <DomainName>\<GroupName> 格式输入域名和组名,并请遵循以下基本原则:
- 域组可以为全局域组或本地域组。
- 域组必须与计算机帐户位于同一域中。例如,如果将安装 SQL Server 的计算机在 SQLSVR 域(MYDOMAIN 的子域)中,则必须在 SQLSVR 域中指定一个组。SQLSVR 域可能包含来自 MYDOMAIN 的用户帐户。
- 用户必须是域组的直接成员,而不是通过子组才成为域组的成员。安装程序不会按照子组成员身份来验证用户帐户是否在域组中。
- 运行安装程序时,域和域组名必须已经存在。如果需要,请向域管理员询问现有域组的名称,或者为故障转移群集创建域组。如果在运行安装程序前刚刚创建域组,则应留出时间,以允许更改通过公司网络进行传播。
- 应为域组添加相应的服务帐户。如果在运行安装程序时,服务帐户不是相应的域组成员,则安装程序将尝试添加这些服务帐户。在此情况下,运行安装程序的帐户必须拥有向域组添加帐户的充足权限。如果 SQL Server 安装程序以无权向域组添加用户的帐户运行,则用户必须已经是相应组的成员。
- 每个服务应使用不同的域组。但是,可对所有 SQL Server 服务使用相同的域组和相同的帐户,可对每个 SQL Server 服务使用相同的域组和不同的帐户,还可以对每个 SQL Server 服务使用不同的域组和不同的帐户。若要维护最具体的权限控制,可对域中的每个 SQL Server 服务和每个虚拟服务器使用不同的帐户和不同的域组。
- SQL Server 域组不应与任何其他应用程序共享。
请注意,为了解决域组问题,您必须拥有域控制器的访问权限。
如果卸载 SQL Server 或更改 SQL Server 帐户,这些帐户将不会从域组中删除。域管理员必须确保在删除 SQL Server 后删除所有不需要的帐户。
请参阅
概念
帮助和信息
更改历史记录
发布日期 | 历史记录 |
---|---|
2006 年 12 月 12 日 |
|