SQL Server のインストール後の注記

コンピュータ アカウント認証資格情報を許可するようにリモート SQL Server を手動で構成する

ここで説明する手動処理は、製品インストール中に自動アカウント作成処理が失敗した場合にのみ必要です。

統合 Windows 認証を使用して、リモート SQL Server にアクセスする場合、Security Controls が正しくサーバと通信するために、コンピュータ アカウント認証資格情報を許可するようにサーバを構成する必要があります。 この作業は、Security Controls をインストールした直後、実際にプログラムを起動する前に、実行することをお勧めします。 ただし、プログラムの起動後でも、この手順を実行できます。 これよりも前に開始するすべてのスキャンで、リモート SQL Server データベースとの通信が必要な場合、通常はスキャンが失敗します。

このセクションでは、Security Controls コンソールから Windows 認証 (コンピュータ アカウント) 認証資格情報を許可するように、リモート SQL Server を構成する方法について説明します。 セキュリティ上の理由から、Ivanti は可能な限り Windows 認証を使用することをお勧めします。 次の例では Microsoft SQL Server Management Studio をエディタとして使用しますが、これ以外の任意のツールも使用できます。

  1. Security Controls コンソールと SQL Server は同じドメインに参加するか、信頼できる関係のある異なるドメインに存在する必要があります。
    これにより、コンソールとサーバが認証資格情報を比較し、安全な接続を確立できます。
  2. SQL Server で、使用する Security Controls 用に新しいログイン アカウントを作成します。
    アカウントを作成するには、securityadmin 権限が必要です。
  3. 手順:[セキュリティ] ノード内で、[ログイン] を右クリックし、[新しいログイン] を選択します。 SAM 対応形式 (ドメイン\コンピュータ名) を使用して、ログイン名を入力します。 コンピュータ アカウントはコンソールのコンピュータ名であり、末尾に $ が付いていなければなりません。

    [検索] オプションは使用しないでください。特殊名であるため、手動で名前を入力する必要があります。

    [Windows 認証] を選択し、[既定のデータベース] ボックスで Security Controls データベースが指定されていることを確認します。

  4. コンソール コンピュータ アカウントを使用して、Security Controls の新しいユーザ ログインを作成します。
  5. [ユーザ] フォルダを右クリックし、[新しいユーザ] を選択します。ログイン名を参照して検索し、その名前を [ユーザ名] ボックスに貼り付けます。db_datareaderdb_datawriterSTCatalogUpdate、および STExec ロールをユーザに割り当てます。

  6. Security Controls を起動します。
  7. 必要に応じて、トラブルシューティングを実行します。
    • SQL Server 利用状況モニターを使用し、パッチ スキャンの実行時に接続の試行が成功したかどうかを判断できます。
    • SQL Server ユーザ アカウントを作成する前に Security Controls を実行した場合、一部のサービスが SQL Server に接続できない場合があります。 [コントロール パネル] > [管理ツール] > [サービス] を選択し、サービスを再起動してください。
    • 接続の試行が失敗する場合、SQL Server ログのメッセージを確認することで、失敗の原因を判断できます。

他のユーザによるプログラムへのアクセスを許可する

このセクションは、ロール ベースの管理機能を使用している場合にも適用されます。

他のユーザによるプログラムへのアクセスを許可する場合は、ユーザに必要なデータベース アクセス権が割り当てられるように、SQL Server を構成しなければならない場合があります。 特に、統合 Windows 認証を使用しているときには、データベース コンピュータ上で管理者権限のないユーザに対して、すべてのテーブルとビューへの読み書き権限を付与する必要があります。 また、Security Controls アプリケーション データベース内のすべてのストアド プロシージャの実行権限も付与する必要があります。 付与しない場合、Security Controls を起動できない可能性があります。

これらの権限を付与するために、db_owner ロールをユーザに割り当てることができます。 ただし、セキュリティ上の理由から、これが最善の方法ではない場合があります。 より安全な代替策は、データベース レベルで実行権限を付与することです。 このためには、該当するユーザに STExec ロールを割り当てます。

データベースでの定期メンテナンスの実行

Security Controls では、古いスキャンの削除、インデックス ファイルの再構築、およびバックアップを自動的に実行し、データベースの定期メンテナンスを実行できます。 詳細については、「データベース メンテナンス」をご参照ください。

関連トピック