SQL Server 執行身分設定檔

SQL Server 的管理套件提供下列執行身分設定檔：

• Microsoft SQL Server 偵測執行身分設定檔

  此配置檔與現有發現相關聯。

• Microsoft SQL Server 監視執行帳戶設定檔

  此設定檔與現有的監視器和規則相關聯。

• Microsoft SQL Server 工作執行身分設定

  此設定檔與現有的工作相關聯。

• Microsoft SQL Server SCOM SDK 用戶執行設定檔

  此配置檔適用於需要存取 System Center Operations Manager SDK 的 SQL Server MP 工作流程。

  SQL Server 管理包需要 System Center Operations Manager SDK 上的一組具有作者權限的許可權，才能建立管理包並儲存其中的覆寫。

  如果 System Center Operations Manager 上的預設動作帳戶沒有這些許可權，請建立這類帳戶，並將其對應至MICROSOFT SQL Server SDK 執行身分設定檔。

• Microsoft SQL Server SQL 憑證執行設定檔

  此設定檔僅用於 無代理程式監視 模式。

注意

如果您在代理程式或混合監視模式下監視 SQL Server，請勿將帳戶綁定至 Microsoft SQL Server SQL 認證執行身分設定檔，因為只有基本動作帳戶可以綁定至此設定檔。 此外，請勿使用 Windows 帳戶或非標準帳戶與此配置檔一起使用。

使用代理程式或混合監視模式時，所有探索、監視和工作都會使用來自 預設動作帳戶 的帳戶，以及 執行身分設定檔。 如果某個系統的預設操作帳戶沒有足夠的許可權來探索和監視 SQL Server 實例，此類系統可以綁定到 Microsoft SQL Server 執行身分設定檔中定義的更具體的認證，群組受控服務帳戶（gMSA） 也受到 支援。

如需有關「以其他使用者身分執行」帳戶的更多資訊，請參閱 管理「以其他使用者身分執行」帳戶和設定檔。

啟用允許在本機登入安全策略

如果使用網域帳戶作為動作帳戶，請在 Windows 上的 SQL Server 和 Linux 上的 SQL Server 上皆啟用 [允許在本機登入] 原則。

代理程式和混合監視模式

若要設定執行身分設定檔，請使用下列其中一個情境：

動作帳戶是本機系統管理員和 SA

操作帳戶是本機管理員（無超級管理員）

動作帳戶是本機系統，未包含 SA

動作帳戶是本機系統管理員和SA

System Center Operations Manager 預設動作帳戶會對應至受監視電腦上的本機系統帳戶或是屬於本機系統管理員群組的任何網域用戶帳戶。

您使用的帳戶必須授與受監視 SQL Server 實例上的 SQL 系統管理員 （SA） 許可權。

您可以透過將網域用戶帳戶加入 SQL Server 安全性存取清單中的 BUILTIN\Administrators 本地群組，來授予其 SA 權限。 在此情況下，SQL Server 實例的監視將立即可用，但除以下所述的一些組態外。

請遵循下列步驟，以確保符合所有需求：

• 如果您在 SMB 檔案共享上儲存 SQL Server 資料庫，預設動作帳戶必須具有許可權，如 Low-Privilege Agent Monitoring中所述。

• 如果裝載 AlwaysOn 可用性複本的伺服器（至少其中一個）的計算機名稱包含超過 15 個字元，請務必執行 在 Windows 伺服器上監視具有長名稱之 AG中所述的步驟。

動作帳戶是本機系統管理員 w/o SA

System Center Operations Manager 的預設動作帳戶會對應到本機系統帳戶或網域使用者帳戶，但由於安全策略，無法將 SA 權限授予此帳戶。

如果安全策略允許將 SA 許可權授與用於啟動 SQL Server MP 工作流程的個別網域用戶帳戶，請執行下列步驟：

1. 建立新的網域用戶帳戶，並將此帳戶新增至每個受監視伺服器上的本機系統管理員群組。

2. 在 SQL Server 上授與此帳戶的 SA 許可權。

3. 在 System Center Operations Manager 中建立新的動作帳戶，並將此帳戶對應至上面建立的網域用戶帳戶。

4. 將新的作業帳戶對應至所有 SQL Server MP 執行身份設定檔。

如果您在 SMB 檔案共享上儲存 SQL Server 資料庫，預設動作帳戶必須具有許可權，如 Low-Privilege Agent Monitoring中所述。

動作帳號是沒有 SA 的本機系統

[此情境僅適用於代理監控模式。]

System Center Operations Manager 預設動作帳戶會對應至本機系統帳戶或網域用戶帳戶，但 SA 許可權無法授與此帳戶，因為安全策略禁止存取 SQL Server。

您可以使用其服務安全性標識符，將SA或低許可權許可權授與System Center Operations Manager HealthService。 如需詳細資訊，請參閱安全性標識符。

請遵循下列步驟，使用 Service SID來設定安全性設定。

無代理程序監視模式

若要在 無代理程式監視 模式中設定執行身分配置檔，請在 SQL Server 上建立帳戶，並授與此帳戶 SA 許可權或一組低許可權許可權。 您可以使用 SQL Server 驗證或 Windows 驗證。 建立之後，您可以在 [新增監視精靈] 使用此帳戶來新增 SQL Server 實例。

如需如何在無代理程式監視模式中設定低許可權監視的詳細資訊，請參閱 Low-Privilege 監視。

監控名稱過長的 Windows 伺服器上的 AG

無論您使用的是本機系統帳戶、網域用戶帳戶或權限指派，下列權限是必要的。

範例：您在可用性群組中有三個複本裝載於下列計算機上：

• Computer_1
• 電腦_2
• 電腦_3

Computer_1 承載主要複本。 在此情況下，您應該在 Computer_2 和 Computer_3上設定 Computer_1 的安全性設定。 如果故障轉移後 Computer_2 將承載主要複本，其他電腦也應該為這台電腦設定 WMI 安全性。

每個可能作為主要節點的本機系統帳戶，都必須具有目前可用性群組中其他節點的 WMI 許可權。 網域動作帳戶的情況也是一樣的。

以下是為本地系統帳戶的配置安全性的步驟。 提供的指示建議 computer_1 電腦承載主要副本。 參與目標可用性群組的每個復本都應該採取這些步驟。

若要在伺服器名稱超過 15 個字元時設定 Always On 工作流程的許可權，請執行下列步驟：

1. 啟動 mmc.exe 並新增以下嵌入式管理單元：

   • 元件服務
   • WMI 控制件 （適用於本機電腦）

2. 展開 [元件服務]，右鍵點擊 [我的電腦]，然後選取 [屬性]。

3. 開啟 [COM 安全性] 索引標籤。

4. 在 [啟動和啟用許可權] 區段中，選取 [編輯限制] 。

   

5. 在 [啟動和啟用許可權] 視窗中，啟用遠端電腦帳戶的下列許可權：

   • 遠端啟動
   • 遠端啟用

   

6. 開啟 WMI 控件 嵌入式管理單元屬性，移至 [安全性] 索引卷標，選取 [Root\CIMV2 命名空間]，然後選取 [安全性]。

7. 允許目標電腦具有下列權限：

   • 啟用帳戶
   • 遠端啟用

   

8. 選取 [進階]、選取目標帳戶，然後選取 [編輯]。

9. 從 套用至 下拉式清單中，選取 僅限此命名空間。

10. 在 [許可權] 區段中，啟用下列複選框：

    • 啟用帳戶
    • 遠端啟用