使用 DBMS 的账户

要安装和使用管理服务器,您需要一个用于运行管理服务器安装程序(以下也称为“安装程序”)的 Windows 账户、一个用于启动管理服务器服务的 Windows 账户以及一个用于访问 DBMS 的内部 DBMS 账户。您可以创建新账户或使用现有账户。所有这些账户都需要特定权限。所需账户组及其权限取决于以下标准:

为账户授予权限时,请遵循最低权限原则。这意味着授予的权限应以足以执行所需操作为限。

下表包含有关在安装和启动管理服务器之前应授予账户的系统权限和 DBMS 权限的信息。

带有 Windows 身份验证的 Microsoft SQL Server

如果您选择 SQL Server 作为 DBMS,则可以使用 Windows 身份验证来访问 SQL Server。为用于运行安装程序的 Windows 账户和用于启动管理服务器服务的 Windows 账户配置系统权限。在 SQL Server 上,为这些 Windows 账户创建登录信息。根据服务器数据库的创建方法,如下表所述向这些账户授予所需的 SQL Server 权限。有关如何配置账户权限的更多信息,请参见配置用于 SQL Server 的账户(Windows 身份验证)

DBMS:带有 Windows 身份验证的 Microsoft SQL Server(包含 Express 版本)

 

自动创建数据库(由安装程序)

手动创建数据库(由管理员)

运行安装程序的账户

  • 远程 DBMS:仅限一个安装 DBMS 的远程设备的域账户。
  • 本地 DBMS:一个本地管理员账户或域账户。
  • 远程 DBMS:仅限一个安装 DBMS 的远程设备的域账户。
  • 本地 DBMS:一个本地管理员账户或域账户。

运行安装程序的账户权限

  • 系统权限:本地管理员权限。
  • SQL Server 权限:
    • 服务器级别角色:sysadmin。
  • 系统权限:本地管理员权限。
  • SQL Server 权限:
    • 服务器级别角色:公共。
    • 服务器数据库的数据库角色成员:db_owner,public。
    • 服务器数据库的默认架构:dbo。

管理服务器服务账户

  • 远程 DBMS:仅限一个安装 DBMS 的远程设备的域账户。
  • 本地 DBMS:
    • 一个由管理员选择的 Windows 账户。
    • 一个由安装程序自动创建的 KL-AK-* 格式账户。
  • 远程 DBMS:仅限一个安装 DBMS 的远程设备的域账户。
  • 本地 DBMS:

管理服务器服务账户权限

  • 系统权限:安装程序分配的所需权限。
  • SQL Server 权限:安装程序分配的所需权限。
  • 系统权限:安装程序分配的所需权限。
  • SQL Server 权限:
    • 服务器级别角色:公共。
    • 服务器数据库的数据库角色成员:db_owner,public。
    • 服务器数据库的默认架构:dbo。

带有 SQL Server 身份验证的 Microsoft SQL Server

如果您选择 SQL Server 作为 DBMS,则可以使用 SQL Server 身份验证来访问 SQL Server。为用于运行安装程序的 Windows 账户和用于启动管理服务器服务的 Windows 账户配置系统权限。在 SQL Server 上,创建一个带密码的登录名以用于身份验证。然后向该 SQL Server 账户授予下表中列出的所需权限。有关如何配置账户权限的更多信息,请参见配置用于 SQL Server 的账户(SQL Server 身份验证)

DBMS:带有 SQL Server 身份验证的 Microsoft SQL Server(包含 Express 版本)

 

自动创建数据库(由安装程序)

手动创建数据库(由管理员)

运行安装程序的账户

  • 远程 DBMS:仅限一个安装 DBMS 的远程设备的域账户。
  • 本地 DBMS:一个本地管理员账户或域账户。
  • 远程 DBMS:仅限一个安装 DBMS 的远程设备的域账户。
  • 本地 DBMS:一个本地管理员账户或域账户。

运行安装程序的账户权限

系统权限:本地管理员权限。

系统权限:本地管理员权限。

管理服务器服务账户

  • 远程 DBMS:仅限一个安装 DBMS 的远程设备的域账户。
  • 本地 DBMS:
    • 一个由管理员选择的 Windows 账户。
    • 一个由安装程序自动创建的 KL-AK-* 格式账户。
  • 远程 DBMS:仅限一个安装 DBMS 的远程设备的域账户。
  • 本地 DBMS:
    • 由管理员选择的 Windows 用户账户。
    • 一个由安装程序自动创建的 KL-AK-* 格式账户。

管理服务器服务账户权限

系统权限:安装程序分配的所需权限。

系统权限:安装程序分配的所需权限。

用于 SQL Server 身份验证的登录权限

创建数据库和安装管理服务器所需的 SQL Server 权限:

  • 服务器级别角色:公共。
  • 数据库的数据库角色成员:db_owner。
  • 数据库的默认架构:dbo。
  • 权限:
    • CONNECT ANY DATABASE
    • CONNECT SQL
    • CREATE ANY DATABASE
    • VIEW ANY DATABASE
    • VIEW SERVER STATE(如果启用了Always On选项)

    使用管理服务器所需的 SQL Server 权限:

  • 服务器级别角色:公共。
  • 服务器数据库的数据库角色成员身份:db_owner。
  • 服务器数据库的默认架构:dbo。
  • 权限:
    • CONNECT SQL
    • VIEW ANY DATABASE
    • VIEW SERVER STATE(如果启用了Always On选项)
    • VIEW ANY DEFINITION

SQL Server 权限:

  • 服务器级别角色:公共。
  • 服务器数据库的数据库角色成员身份:db_owner。
  • 服务器数据库的默认架构:dbo。
  • 权限:
    • CONNECT SQL
    • VIEW ANY DATABASE
    • VIEW ANY DEFINITION

为管理服务器数据恢复配置 SQL Server 权限

要从备份中恢复管理服务器数据,请在用于安装管理服务器的 Windows 账户下运行 klbackup 实用程序。在启动 klbackup 实用程序之前,请在授予与此 Windows 账户关联的 SQL Server 登录权限。SQL Server 权限因管理服务器版本而异。对于 14.2 或更高版本的管理服务器,您可以授予 sysadmin 服务器级角色或 dbcreator 服务器级角色。

用于管理服务器数据库恢复的 SQL Server 权限

14.2 或更高版本的管理服务器

其他管理服务器版本

  • SQL Server 权限:
    • 服务器级别角色:sysadmin。
  • SQL Server 权限:
    • 服务器级别角色:sysadmin。
  • SQL Server 权限:
    • 服务器级别角色:dbcreator。
  • 权限:
    • VIEW ANY DEFINITION

    在启动 klbackup 实用程序之前,请指定 KLSRV_SKIP_ADJUSTING_DBMS_ACCESS 服务器标志。使用管理员权限运行 Windows 命令提示符,然后将当前目录更改为包含 klscflag 实用程序的目录。klscflag 实用程序位于安装管理服务器的文件夹中。默认安装路径为 <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center。此后,在命令行中执行以下命令:

    klscflag.exe -fset -pv klserver -n KLSRV_SKIP_ADJUSTING_DBMS_ACCESS -t d -v 1

 

MySQL 和 MariaDB

如果您选择 MySQL 或 MariaDB 作为 DBMS,请创建一个 DBMS 内部账户并为此账户授予下表中列出的所需权限。安装程序和管理服务器服务使用此内部 DBMS 账户访问 DBMS。请注意,数据库创建方法不影响所需权限集。有关如何配置账户权限的更多信息,请参阅配置用于 MySQL 和 MariaDB 的账户

DBMS:MySQL 和 MariaDB

 

自动或手动创建数据库

运行安装程序的账户

  • 远程 DBMS:仅限一个安装 DBMS 的远程设备的域账户。
  • 本地 DBMS:一个本地管理员账户或域账户。

运行安装程序的账户权限

系统权限:本地管理员权限。

管理服务器服务账户

  • 远程 DBMS:仅限一个安装 DBMS 的远程设备的域账户。
  • 本地 DBMS:
    • 一个由管理员选择的 Windows 账户。
    • 一个由安装程序自动创建的 KL-AK-* 格式账户。

管理服务器服务账户权限

系统权限:安装程序分配的所需权限。

DBMS 内部账户权限

架构权限:

  • 管理服务器数据库:ALL(不包括 GRANT OPTION)。
  • 系统方案(mysql 和 sys):SELECT、SHOW VIEW。
  • sys.table_exists 存储过程:EXECUTE(如果您使用 MariaDB 10.5 或更早版本作为 DBMS,则无需授予 EXECUTE 权限)。

所有架构的全局权限:PROCESS、SUPER。

配置管理服务器数据恢复的权限

您授予内部 DBMS 账户的权限足以从备份中恢复管理服务器数据。要开始恢复,请在用于安装管理服务器的 Windows 账户下运行 klbackup 实用程序。

PostgreSQL 或 Postgres Pro

如果您选择 PostgreSQL 或 Postgres Pro 作为 DBMS,您可以使用 Postgres 用户(默认的 Postgres 角色)或创建一个新的 Postgres 角色(以下简称“角色”)来访问 DBMS。根据服务器数据库的创建方法,如下表所述向角色授予所需权限。有关如何配置角色权限的更多信息,请参阅配置用于 PostgreSQL 或 Postgres Pro 的账户

DBMS:PostgreSQL 或 Postgres Pro

 

自动创建数据库

手动创建数据库

运行安装程序的账户

  • 远程 DBMS:仅限一个安装 DBMS 的远程设备的域账户。
  • 本地 DBMS:一个本地管理员账户或域账户。
  • 远程 DBMS:仅限一个安装 DBMS 的远程设备的域账户。
  • 本地 DBMS:一个本地管理员账户或域账户。

运行安装程序的账户权限

系统权限:本地管理员权限。

系统权限:本地管理员权限。

管理服务器服务账户

  • 远程 DBMS:仅限一个安装 DBMS 的远程设备的域账户。
  • 本地 DBMS:
    • 一个由管理员选择的 Windows 账户。
    • 一个由安装程序自动创建的 KL-AK-* 格式账户。
  • 远程 DBMS:仅限一个安装 DBMS 的远程设备的域账户。
  • 本地 DBMS:
    • 一个由管理员选择的 Windows 账户。
    • 一个由安装程序自动创建的 KL-AK-* 格式账户。

管理服务器服务账户权限

系统权限:安装程序分配的所需权限。

系统权限:安装程序分配的所需权限。

Postgres 角色的权限

Postgres 用户不需要额外权限。

新角色的权限:CREATEDB

对于新角色:

  • 针对管理服务器数据库的权限:ALL
  • 针对公共架构中所有表的权限:ALL
  • 针对公共架构中所有序列的特权:ALL

配置管理服务器数据恢复的权限

要从备份中恢复管理服务器数据,请在用于安装管理服务器的 Windows 账户下运行 klbackup 实用程序。请注意,用于访问 DBMS 的 Postgres 角色必须具有针对管理服务器数据库的所有者权限。

另请参阅:

主要安装方案

页顶