Учетные записи для работы с СУБД

Для установки Сервера администрирования и работы с ним вам потребуется учетная запись Windows, под которой вы будете запускать приложение установки Сервера администрирования (далее также "инсталлятор"), учетная запись Windows, под которой вы будете запускать службу Сервера администрирования, и внутренняя учетная запись СУБД для доступа к СУБД. Можно создать учетные записи или использовать существующие. Все эти учетные записи требуют определенных прав. Набор необходимых учетных записей и их права зависят от следующих критериев:

При предоставлении прав и разрешений учетным записям соблюдайте принцип наименьших привилегий. Это означает, что предоставленных прав достаточно только для выполнения требуемых действий.

В приведенных ниже таблицах содержится информация о системных правах и правах на СУБД, которые требуется предоставить учетным записям перед установкой и запуском Сервера администрирования.

Microsoft SQL Server с аутентификацией Windows

Если вы выбираете SQL Server в качестве СУБД, можно использовать аутентификацию Windows для доступа к SQL Server. Настройте системные права для учетной записи Windows, используемой для запуска приложения установки, и для учетной записи Windows, используемой для запуска службы Сервера администрирования. В SQL Server создайте учетные записи для этих учетных записей Windows. В зависимости от метода создания базы данных Сервера предоставьте необходимые права SQL Server этим учетным записям, как описано в таблице ниже. Подробнее о настройке прав учетных записей см. раздел Настройка учетных записей для работы с SQL Server (аутентификация Windows).

Microsoft SQL Server (в том числе и Express Edition) с аутентификацией Windows

 

Автоматическое создание базы данных (приложением установки)

Создание базы данных вручную (администратором)

Учетная запись, от имени которой работает инсталлятор

  • Удаленная СУБД: только доменная учетная запись удаленного устройства, на котором установлена СУБД.
  • Локальная СУБД: учетная запись локального администратора или учетная запись домена.
  • Удаленная СУБД: только доменная учетная запись удаленного устройства, на котором установлена СУБД.
  • Локальная СУБД: учетная запись локального администратора или учетная запись домена.

Права учетной записи, от имени которой работает инсталлятор

  • Системные права: права локального администратора.
  • Права SQL Server:
    • Роль уровня сервера: sysadmin.
  • Системные права: права локального администратора.
  • Права SQL Server:
    • Роль уровня сервера: public.
    • Роль членства базы данных для базы данных Сервера: db_owner, public.
    • Схема по умолчанию для базы данных Сервера: dbo.

Учетная запись службы Сервера администрирования

  • Удаленная СУБД: только доменная учетная запись удаленного устройства, на котором установлена СУБД.
  • Локальная СУБД:
    • Учетная запись Windows, выбранная администратором.
    • Учетная запись в формате KL-AK-*, которую приложение установки создает автоматически.
  • Удаленная СУБД: только доменная учетная запись удаленного устройства, на котором установлена СУБД.
  • Локальная СУБД:

Права учетной записи службы Сервера администрирования

  • Системные права: необходимые права, присвоенные инсталлятором.
  • Права SQL Server: необходимые права, присвоенные инсталлятором.
  • Системные права: необходимые права, присвоенные инсталлятором.
  • Права SQL Server:
    • Роль уровня сервера: public.
    • Роль членства базы данных для базы данных Сервера: db_owner, public.
    • Схема по умолчанию для базы данных Сервера: dbo.

Microsoft SQL Server с аутентификацией SQL Server

Если вы выбираете SQL Server в качестве СУБД, вы можете использовать аутентификацию SQL Server для подключения к SQL Server. Настройте системные права для учетной записи Windows, используемой для запуска приложения установки, и для учетной записи Windows, используемой для работы с Сервером администрирования. В SQL Server создайте учетную запись с паролем, чтобы использовать это для аутентификации. Затем предоставьте этой учетной записи SQL Server необходимые права, перечисленные в таблице ниже. Подробнее о настройке прав учетных записей см. раздел Настройка учетных записей для работы с SQL Server (аутентификация SQL Server).

Microsoft SQL Server (в том числе и Express Edition) с аутентификацией SQL Server

 

Автоматическое создание базы данных (приложением установки)

Создание базы данных вручную (администратором)

Учетная запись, от имени которой работает инсталлятор

  • Удаленная СУБД: только доменная учетная запись удаленного устройства, на котором установлена СУБД.
  • Локальная СУБД: учетная запись локального администратора или учетная запись домена.
  • Удаленная СУБД: только доменная учетная запись удаленного устройства, на котором установлена СУБД.
  • Локальная СУБД: учетная запись локального администратора или учетная запись домена.

Права учетной записи, от имени которой работает инсталлятор

Системные права: права локального администратора.

Системные права: права локального администратора.

Учетная запись службы Сервера администрирования

  • Удаленная СУБД: только доменная учетная запись удаленного устройства, на котором установлена СУБД.
  • Локальная СУБД:
    • Учетная запись Windows, выбранная администратором.
    • Учетная запись в формате KL-AK-*, которую приложение установки создает автоматически.
  • Удаленная СУБД: только доменная учетная запись удаленного устройства, на котором установлена СУБД.
  • Локальная СУБД:
    • Учетная запись пользователя Windows, выбранная администратором.
    • Учетная запись в формате KL-AK-*, которую приложение установки создает автоматически.

Права учетной записи службы Сервера администрирования

Системные права: необходимые права, присвоенные инсталлятором.

Системные права: необходимые права, присвоенные инсталлятором.

Права учетной записи, используемой для аутентификации SQL Server

Права SQL Server, необходимые для создания базы данных и установки Сервера администрирования:

  • Роль уровня сервера: public.
  • Роль членства базы данных для базы данных master: db_owner.
  • Схема по умолчанию для базы данных master: dbo.
  • Разрешения:
    • CONNECT ANY DATABASE
    • CONNECT SQL
    • CREATE ANY DATABASE
    • VIEW ANY DATABASE
    • VIEW SERVER STATE (если включен параметр Always On)

    Права SQL Server, необходимые для работы с Сервером администрирования:

  • Роль уровня сервера: public.
  • Роль членства базы данных для базы данных Сервера: db_owner.
  • Схема по умолчанию для базы данных Сервера: dbo.
  • Разрешения:
    • CONNECT SQL
    • VIEW ANY DATABASE
    • VIEW SERVER STATE (если включен параметр Always On)
    • VIEW ANY DEFINITION

Права SQL Server:

  • Роль уровня сервера: public.
  • Роль членства базы данных для базы данных Сервера: db_owner.
  • Схема по умолчанию для базы данных Сервера: dbo.
  • Разрешения:
    • CONNECT SQL
    • VIEW ANY DATABASE
    • VIEW ANY DEFINITION

Настройка прав SQL Server для восстановления данных Сервера администрирования

Чтобы восстановить данные Сервера администрирования из резервной копии, запустите утилиту klbackup под учетной записью Windows, под которой был установлен Сервер администрирования. Перед запуском утилиты klbackup на SQL Server предоставьте права для входа в SQL Server, связанного с этой учетной записью Windows. Права SQL Server различаются в зависимости от версии Сервера администрирования. Для Сервера администрирования версии 14.2 и выше можно назначить серверную роль sysadmin или серверную роль dbcreator.

Права SQL Server для восстановления базы данных Сервера администрирования

Сервер администрирования версии 14.2 и выше

Другие версии Сервера администрирования

  • Права SQL Server:
    • Роль уровня сервера: sysadmin.
  • Права SQL Server:
    • Роль уровня сервера: sysadmin.
  • Права SQL Server:
    • Роль уровня сервера: dbcreator.
  • Разрешения:
    • VIEW ANY DEFINITION

    Перед запуском утилиты klbackup укажите флаг сервера KLSRV_SKIP_ADJUSTING_DBMS_ACCESS. Запустите командную строку Windows с правами администратора, а затем измените текущую директорию на директорию с утилитой klscflag. Утилита klscflag расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center. Далее выполните следующую команду в командной строке:

    klscflag.exe -fset -pv klserver -n KLSRV_SKIP_ADJUSTING_DBMS_ACCESS -t d -v 1

 

MySQL и MariaDB

Если вы выбираете MySQL или MariaDB в качестве СУБД, создайте внутреннюю учетную запись СУБД и предоставьте этой учетной записи необходимые права, перечисленные в таблице ниже. Приложение установки и служба Сервера администрирования используют эту внутреннюю учетную запись СУБД для доступа к СУБД. Обратите внимание, что способ создания базы данных не влияет на набор необходимых прав. Подробнее о настройке прав учетной записи см. раздел Настройка учетных записей для работы с MySQL и MariaDB.

MySQL и MariaDB

 

Автоматическое или ручное создание базы данных

Учетная запись, от имени которой работает инсталлятор

  • Удаленная СУБД: только доменная учетная запись удаленного устройства с установленной СУБД.
  • Локальная СУБД: учетная запись локального администратора или учетная запись домена.

Права учетной записи, от имени которой работает инсталлятор

Системные права: права локального администратора.

Учетная запись службы Сервера администрирования

  • Удаленная СУБД: только доменная учетная запись удаленного устройства с установленной СУБД.
  • Локальная СУБД:
    • Учетная запись Windows, выбранная администратором.
    • Учетная запись в формате KL-AK-*, которую приложение установки создает автоматически.

Права учетной записи службы Сервера администрирования

Системные права: необходимые права, присвоенные инсталлятором.

Права внутренней учетной записи СУБД

Схема привилегий:

  • База данных Сервера администрирования: ALL (кроме GRANT OPTION).
  • Схемы системы (mysql и sys): SELECT, SHOW VIEW.
  • Хранимая процедура sys.table_exists: EXECUTE (если вы используете MariaDB 10.5 или более раннюю версию в качестве СУБД, вам не нужно предоставлять право EXECUTE).

Глобальные привилегии для всех схем: PROCESS, SUPER.

Настройка прав на восстановление данных Сервера администрирования

Прав, которые вы предоставили для внутренней учетной записи СУБД, достаточно для восстановления данных Сервера администрирования из резервной копии. Чтобы начать восстановление, запустите утилиту klbackup под учетной записью Windows, под которой был установлен Сервер администрирования.

PostgreSQL или Postgres Pro.

Если вы выбираете PostgreSQL или Postgres Pro в качестве СУБД, вы можете использовать пользователя Postgres (роль Postgres по умолчанию) или создать роль Postgres (далее также роль) для доступа к СУБД. В зависимости от способа создания базы данных Сервера предоставьте необходимые права роли, как описано в таблице ниже. Подробнее о настройке прав роли см. раздел Настройка учетных записей для работы с PostgreSQL или Postgres Pro.

СУБД: PostgreSQL или Postgres Pro

 

Автоматическое создание базы данных

Создание базы данных вручную

Учетная запись, от имени которой работает инсталлятор

  • Удаленная СУБД: только доменная учетная запись удаленного устройства с установленной СУБД.
  • Локальная СУБД: учетная запись локального администратора или учетная запись домена.
  • Удаленная СУБД: только доменная учетная запись удаленного устройства с установленной СУБД.
  • Локальная СУБД: учетная запись локального администратора или учетная запись домена.

Права учетной записи, от имени которой работает инсталлятор

Системные права: права локального администратора.

Системные права: права локального администратора.

Учетная запись службы Сервера администрирования

  • Удаленная СУБД: только доменная учетная запись удаленного устройства с установленной СУБД.
  • Локальная СУБД:
    • Учетная запись Windows, выбранная администратором.
    • Учетная запись в формате KL-AK-*, которую приложение установки создает автоматически.
  • Удаленная СУБД: только доменная учетная запись удаленного устройства с установленной СУБД.
  • Локальная СУБД:
    • Учетная запись Windows, выбранная администратором.
    • Учетная запись в формате KL-AK-*, которую приложение установки создает автоматически.

Права учетной записи службы Сервера администрирования

Системные права: необходимые права, присвоенные инсталлятором.

Системные права: необходимые права, присвоенные инсталлятором.

Права роли Postgres

Пользователю Postgres не требуются дополнительные права.

Права для новой роли: CREATEDB.

Для новой роли:

  • Права доступа к базе данных Сервера администрирования: ALL.
  • Права доступа ко всем таблицам в общедоступной схеме: ALL.
  • Права доступа ко всем последовательностям в общедоступной схеме: ALL.

Настройка прав на восстановление данных Сервера администрирования

Чтобы восстановить данные Сервера администрирования из резервной копии, запустите утилиту klbackup под учетной записью Windows, под которой был установлен Сервер администрирования. Обратите внимание, что роль Postgres, используемая для доступа к СУБД, должна иметь права владельца на базу данных Сервера администрирования.

См. также:

Основной сценарий установки

В начало