SQL Server 安装后注意事项
手动配置远程 SQL Server 以接受计算机帐户凭据
只有产品安装期间的自动帐户创建流程失败时,才需要使用此处描述的手动流程。
如果正在使用集成的 Windows 身份验证访问远程 SQL Server,那么为了使 Security Controls 与服务器正确交互,必须配置服务器以接受计算机帐户凭据。 执行此操作的最佳时间是安装 Security Controls 之后到真正启动程序之前。 不过可以在启动程序后执行这些步骤。 在此之前启动的需要与远程 SQL Server 数据库交互的所有扫描都可能失败。
此部分说明如何配置远程 SQL Server 以从 Security Controls 控制台接受 Windows 身份验证(计算机帐户)凭据。 出于安全目的,Ivanti 建议在可能的情况下使用 Windows 身份验证。 在以下示例中,Microsoft SQL Server Management Studio 作为编辑器使用,但是也可以使用其他工具(如果需要)。
- Security Controls 控制台和 SQL Server 必须加入相同的域,或者位于具有信任关系的不同域中。
这就是为什么控制台和服务器可以比较凭据,并且建立安装连接。 - 在 SQL Server 上,为 Security Controls 创建要使用的新登录帐户。
必须具有 securityadmin 权限才能创建帐户。 - 对于 Security Controls 数据库,使用控制台计算机帐户创建新的用户登录。
- 启动 Security Controls。
- 必要时执行故障排除。
- 执行修补程序扫描时,可以使用 SQL Server 活动监视器确定连接尝试是否成功。
- 如果在创建 SQL Server 用户帐户前运行 Security Controls,则某些服务可能无法连接至 SQL Server。 应该选择控制面板 > 管理工具 > 服务,然后尝试重新启动服务。
- 如果连接尝试失败,则可以查看 SQL Server 日志中的消息,以确定故障发生的原因。
要执行此操作:在安全节点中,右键单击登录名,并且选择新建登录。 使用 SAM 兼容的格式(域名\计算机名称)键入登录名。 计算机帐户是控制台的计算机名称,并且末尾必须包含 $。
请勿使用搜索选项。 必须手动键入名称,因为它是特殊名称。
确保您选择 Windows 身份验证,并且默认数据库框指定了 Security Controls 数据库。
右键单击用户文件夹,选择新建用户,浏览以找到登录名,然后将该名称复制到用户名框中。 为用户分配 db_datareader、db_datawriter、 STCatalogUpdate 和 STExec 角色。
允许其他用户访问程序
此部分在使用基于角色的管理功能时同样适用。
如果希望允许其他用户访问此程序,则可能需要配置 SQL Server,使这些用户具有必需的数据库权限。 特别是使用 Windows 集成身份验证时,没有数据库计算机的相关管理权限的用户必须获得对所有表格和视图的读写权限。 用户还必须获得对 Security Controls 应用程序数据库中存储的所有步骤的执行权限。 他们可能不能启动 Security Controls。
授予这些权限的一个方法是为用户分配 db_owner 角色。 然而,出于安全原因,这可能不是最佳的解决方案。 更安全的选择是授予数据库级别的执行权限。 为有问题的用户分配 STExec 角色可以完成此步骤。
在数据库上执行定期维护
Security Controls 会自动移除旧扫描、重建索引文件以及执行备份,因此能够在数据库上执行定期维护。 有关详细信息,请参阅数据库维护。