SQL Server 安裝後注意事項
手動設定遠端 SQL Server 接受電腦帳戶認證
只有在自動化帳戶建立程序於產品安裝期間失敗時,才需要進行此處說明的手動程序。
如果您使用整合式 Windows 驗證存取遠端 SQL Server,為了讓 Security Controls 與伺服器正常互動,您必須設定伺服器接受電腦帳戶認證。 最好在安裝 Security Controls 之後實際啟動程式前這麼做。 不過,您可以在啟動程式後執行這些步驟。 您在這之前進行的任何掃描需要與遠端 SQL Server 資料庫互動,將可能會失敗。
本節說明如何設定遠端 SQL Server 接受 Security Controls 控制台的 Windows 驗證 (電腦帳戶) 認證。 基於安全考量,Ivanti 建議儘可能使用 Windows 驗證。 Microsoft SQL Server Management Studio 將在下列範例中做為編輯器,不過您也可以使用您偏好的不同工具。
- Security Controls 控制台及 SQL Server 必須結合到同一個網域,或位在有信任關係的不同網域。
如此一來,控制台和伺服器即可比較認證,並建立安全連線。 - 在 SQL Server,建立新的登入帳戶供 Security Controls 使用。
您必須擁有 securityadmin 權限,才能建立帳戶。 - 對於 Security Controls 資料庫,請使用控制台電腦帳戶建立新的使用者登入。
- 启动 Security Controls。
- 執行任何必要的疑難排解。
- 您可以使用 SQL Server 活動監視器,判斷執行修補程式掃描時是否成功進行連線嘗試。
- 如果您在建立 SQL Server 使用者帳戶前執行 Security Controls,某些服務可能無法連線到 SQL Server。 您應該選取控制台 > 管理工具 > 服務,並嘗試重新啟動服務。
- 如果連線嘗試失敗,您可以檢視 SQL Server 記錄,判斷造成失敗的原因。
若要這麼做:在安全節點中,以滑鼠右鍵按一下登入,並選取新增登入。 使用 SAM 相容格式 (網域\電腦名稱) 輸入登入名稱。 電腦帳戶是您控制台的電腦名稱,結尾必須是 $。
請勿使用搜尋選項。 您必須手動輸入名稱,因為這是特殊名稱。
請確認您選擇 Windows 驗證,而且預設資料庫方塊中指定了 Security Controls 資料庫。
以滑鼠右鍵按一下使用者資料夾,並選取新增使用者,接著找出登入名稱,然後將名稱貼入使用者名稱方塊。 將 db_datareader、db_datawriter、 STCatalogUpdate 及 STExec 角色指派給使用者。
允許其他使用者存取程式
如果您使用以角色為基礎的管理功能,本節也適用。
如果您要讓其他使用者存取程式,您可能需要設定 SQL Server,以便使用者擁有必要的資料庫權限。 尤其在使用 Windows 整合式驗證時,沒有資料庫電腦管理權限的使用者必須獲得所有表格和檢視的讀取和寫入權限。 使用者也必須獲得 Security Controls 應用程式資料庫中所有已儲存程序的執行權限。 若非如此,則使用者無法啟動 Security Controls。
授予這些權限的其中一個方法是將 db_owner 角色指派給使用者。 不過,在安全方面,這並非最好的解決之道。 較安全的替代做法是授予資料庫層級的執行權限。 您可以將 STExec 角色指派給相關使用者進行授予。
執行資料庫的定期維護
Security Controls 能夠自動移除舊掃描、重新建立索引檔,並執行備份,由此進行資料庫的定期維護。 有關詳細資訊,請參閱資料庫維護。