卡巴斯基安全管理中心 14

使用 DBMS 的帳戶

2024年1月26日

ID 156275

要安裝管理伺服器並使其運作,您需要一個用於執行管理伺服器安裝程式(以下簡稱「安裝程式」)的 Windows 帳戶、一個用於啟動管理伺服器服務的 Windows 帳戶,以及一個用於存取 DBMS 的內部 DBMS 帳戶。您可以建立新帳戶或使用現有帳戶。所有這些帳戶都需要特定的權限。所需的一組帳戶及其權限取決於以下標準:

  • DBMS 類型:
    • Microsoft SQL Server(使用 Windows 身分驗證或 SQL Server 身分驗證)
    • MySQL 或 MariaDB
    • PostgreSQL 或 Postgres Pro
  • DBMS 位置:
    • 本機 DBMS本機 DBMS 是安裝在管理伺服器裝置的 DBMS。
    • 遠端 DBMS遠端 DBMS 是安裝在其他裝置上的 DBMS。
  • 管理伺服器資料庫的建立方法:
    • 自動。在安裝管理伺服器的過程中,您可以使用安裝程式自動建立一個管理伺服器資料庫(以下簡稱「伺服器資料庫」)。
    • 手動。您可以使用協力廠商應用程式(例如 SQL Server Management Studio)或指令碼來建立一個空資料庫。之後,您可以在管理伺服器安裝期間,將此資料庫指定為伺服器資料庫。

為帳戶授予權利和權限時,請遵循最小權限原則。也就是說,授予的權限應該僅足以執行所需的動作。

下表提供有關在安裝和啟動管理伺服器之前,應授予帳戶的系統權限和 DBMS 權限資訊。

使用 Windows 身分驗證的 Microsoft SQL Server

如果選擇 SQL Server 作為 DBMS,則可以使用 Windows 身分驗證來存取 SQL Server。為用於執行安裝程式的 Windows 帳戶和用於啟動管理伺服器服務的 Windows 帳戶設定系統權限。在 SQL Server 上,為這兩個 Windows 帳戶建立登入資訊。根據伺服器資料庫的建立方法,如下表所述,將所需的 SQL Server 權限授予這些帳戶。有關如何設定帳戶權限的更多資訊,請參閱設定帳戶以搭配 SQL Server 使用(Windows 身分驗證)

DBMS:使用 Windows 身分驗證的 Microsoft SQL Server(包含 Express 版本)

 

自動建立資料庫(由安裝程式進行)

手動建立資料庫(由管理員進行)

執行安裝程式的帳戶

  • 遠端 DBMS:只有安裝 DBMS 的遠端裝置的網域帳戶。
  • 本機 DBMS:本機管理員帳戶或網域帳戶。
  • 遠端 DBMS:只有安裝 DBMS 的遠端裝置的網域帳戶。
  • 本機 DBMS:本機管理員帳戶或網域帳戶。

執行安裝程式的帳戶權限

  • 系統權限:本機管理員權限。
  • SQL Server 權限:
    • 伺服器層級角色:sysadmin。
  • 系統權限:本機管理員權限。
  • SQL Server 權限:
    • 伺服器層級角色:public。
    • 伺服器資料庫的資料庫角色成員資格:db_owner,公有。
    • 伺服器資料庫的預設方案:dbo。

管理伺服器服務帳戶

  • 遠端 DBMS:只有安裝 DBMS 的遠端裝置的網域帳戶。
  • 本機 DBMS:
    • 由管理員選擇的 Windows 帳戶。
    • 安裝程式自動建立的 KL-AK-* 格式帳戶。
  • 遠端 DBMS:只有安裝 DBMS 的遠端裝置的網域帳戶。
  • 本機 DBMS:

管理伺服器服務帳戶權限

  • 系統權限:安裝程式指派的所需權限。
  • SQL Server 權限:安裝程式指配的所需權限。
  • 系統權限:安裝程式指派的所需權限。
  • SQL Server 權限:
    • 伺服器層級角色:public。
    • 伺服器資料庫的資料庫角色成員資格:db_owner,公有。
    • 伺服器資料庫的預設方案:dbo。

使用 SQL Server 身分驗證的 Microsoft SQL Server

如果選擇 SQL Server 作為 DBMS,則可以使用 SQL Server 身分驗證來存取 SQL Server。為用於執行安裝程式的 Windows 帳戶和用於啟動管理伺服器服務的 Windows 帳戶設定系統權限。在 SQL Server 上,建立一個含密碼的登入資訊以用於身分驗證。然後,將下表中列出的所需權限授予此 SQL Server 帳戶。有關如何設定帳戶權限的更多資訊,請參閱設定帳戶以搭配 SQL Server 使用(SQL Server 身分驗證)

DBMS:使用 SQL Server 身分驗證的 Microsoft SQL Server(包含 Express 版本)

 

自動建立資料庫(由安裝程式進行)

手動建立資料庫(由管理員進行)

執行安裝程式的帳戶

  • 遠端 DBMS:只有安裝 DBMS 的遠端裝置的網域帳戶。
  • 本機 DBMS:本機管理員帳戶或網域帳戶。
  • 遠端 DBMS:只有安裝 DBMS 的遠端裝置的網域帳戶。
  • 本機 DBMS:本機管理員帳戶或網域帳戶。

執行安裝程式的帳戶權限

系統權限:本機管理員權限。

系統權限:本機管理員權限。

管理伺服器服務帳戶

  • 遠端 DBMS:只有安裝 DBMS 的遠端裝置的網域帳戶。
  • 本機 DBMS:
    • 由管理員選擇的 Windows 帳戶。
    • 安裝程式自動建立的 KL-AK-* 格式帳戶。
  • 遠端 DBMS:只有安裝 DBMS 的遠端裝置的網域帳戶。
  • 本機 DBMS:
    • 管理員選擇的 Windows 使用者帳戶。
    • 安裝程式自動建立的 KL-AK-* 格式帳戶。

管理伺服器服務帳戶權限

系統權限:安裝程式指派的所需權限。

系統權限:安裝程式指派的所需權限。

用於 SQL Server 身分驗證的登入權限

建立資料庫和安裝管理伺服器所需的 SQL Server 權限:

  • 伺服器層級角色:public。
  • 資料庫的資料庫角色成員資格:db_owner。
  • 資料庫的預設方案:dbo。
  • 權限:
    • CONNECT ANY DATABASE
    • CONNECT SQL
    • CREATE ANY DATABASE
    • VIEW ANY DATABASE

    搭配管理伺服器使用所需的 SQL Server 權限:

  • 伺服器層級角色:public。
  • 伺服器資料庫的資料庫角色成員資格:db_owner。
  • 伺服器資料庫的預設方案:dbo。
  • 權限:
    • CONNECT SQL
    • VIEW ANY DATABASE

SQL Server 權限:

  • 伺服器層級角色:public。
  • 伺服器資料庫的資料庫角色成員資格:db_owner。
  • 伺服器資料庫的預設方案:dbo。
  • 權限:
    • CONNECT SQL
    • VIEW ANY DATABASE

設定用於復原管理伺服器資料的 SQL Server 權限

如要從備份中還原管理伺服器資料,請使用安裝管理伺服器所用的 Windows 帳戶執行 klbackup 公用程式。在啟動 klbackup 公用程式之前,請在 SQL Server 上,將該權限授予與此 Windows 帳戶關聯的 SQL Server 登入名稱。SQL Server 權限會因管理伺服器版本而異。對於 14.2 或更高版本的管理伺服器,您可以授予 sysadmin 伺服器層級角色或 dbcreator 伺服器層級角色。

用於復原管理伺服器資料庫的 SQL Server 權限

14.2 或更高版本的管理伺服器

其他版本的管理伺服器

  • SQL Server 權限:
    • 伺服器層級角色:sysadmin。
  • SQL Server 權限:
    • 伺服器層級角色:sysadmin。
  • SQL Server 權限:
    • 伺服器層級角色:dbcreator。
  • 權限:
    • VIEW ANY DEFINITION

    在啟動 klbackup 公用程式之前,請指定 KLSRV_SKIP_ADJUSTING_DBMS_ACCESS 伺服器旗標。使用管理員權限執行 Windows 命令提示符,然後將目前目錄變更為包含 klscflag 公用程式的目錄。klscflag 公用程式位於安裝管理伺服器的資料夾中。預設安裝路徑:<Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.此後,在命令行中執行以下命令:

    klscflag.exe -fset -pv klserver -n KLSRV_SKIP_ADJUSTING_DBMS_ACCESS -t d -v 1

 

MySQL 和 MariaDB

如果您選擇 MySQL 或 MariaDB 作為 DBMS,請建立一個 DBMS 內部帳戶,並將下表列出的所需權限授予該帳戶。安裝程式和管理伺服器服務會使用這個內部 DBMS 帳戶來存取 DBMS。請注意,資料庫建立方法不影響所需的一組權限。有關如何設定帳戶權限的更多資訊,請參閱設定帳戶以搭配 MySQL 和 MariaDB 使用

DBMS:MySQL 和 MariaDB

 

自動或手動建立資料庫

執行安裝程式的帳戶

  • 遠端 DBMS:只有已安裝 DBMS 的遠端裝置的網域帳戶。
  • 本機 DBMS:本機管理員帳戶或網域帳戶。

執行安裝程式的帳戶權限

系統權限:本機管理員權限。

管理伺服器服務帳戶

  • 遠端 DBMS:只有已安裝 DBMS 的遠端裝置的網域帳戶。
  • 本機 DBMS:
    • 由管理員選擇的 Windows 帳戶。
    • 安裝程式自動建立的 KL-AK-* 格式帳戶。

管理伺服器服務帳戶權限

系統權限:安裝程式指派的所需權限。

DBMS 內部帳戶的權限

方案權限:

  • 管理伺服器資料庫:ALL(不包括 GRANT OPTION)。
  • 系統方案(mysql 和 sys):SELECT、SHOW VIEW。
  • sys.table_exists 儲存的處理程序:EXECUTE(如果您使用 MariaDB 10.5 或更早版本作為 DBMS,則無需授予 EXECUTE 權限)。

所有方案的全域權限:PROCESS、SUPER。

設定用於復原管理伺服器資料的權限

您授予內部 DBMS 帳戶的權限足以從備份中還原管理伺服器資料。如要開始還原,請使用安裝管理伺服器所用的 Windows 帳戶執行 klbackup 公用程式。

PostgreSQL 或 Postgres Pro

如果您選擇 PostgreSQL 或 Postgres Pro 作為 DBMS,則可以使用 postgres 使用者(預設的 Postgres 角色)或建立一個新的 Postgres 角色(以下簡稱「角色」)來存取 DBMS。根據伺服器資料庫的建立方法,如下表所述,將所需的權限授予角色。有關如何設定角色權限的更多資訊,請參閱設定帳戶以搭配 PostgreSQL 或 Postgres Pro 使用

DBMS:PostgreSQL 或 Postgres Pro

 

自動建立資料庫

手動建立資料庫

執行安裝程式的帳戶

  • 遠端 DBMS:只有已安裝 DBMS 的遠端裝置的網域帳戶。
  • 本機 DBMS:本機管理員帳戶或網域帳戶。
  • 遠端 DBMS:只有已安裝 DBMS 的遠端裝置的網域帳戶。
  • 本機 DBMS:本機管理員帳戶或網域帳戶。

執行安裝程式的帳戶權限

系統權限:本機管理員權限。

系統權限:本機管理員權限。

管理伺服器服務帳戶

  • 遠端 DBMS:只有已安裝 DBMS 的遠端裝置的網域帳戶。
  • 本機 DBMS:
    • 由管理員選擇的 Windows 帳戶。
    • 安裝程式自動建立的 KL-AK-* 格式帳戶。
  • 遠端 DBMS:只有已安裝 DBMS 的遠端裝置的網域帳戶。
  • 本機 DBMS:
    • 由管理員選擇的 Windows 帳戶。
    • 安裝程式自動建立的 KL-AK-* 格式帳戶。

管理伺服器服務帳戶權限

系統權限:安裝程式指派的所需權限。

系統權限:安裝程式指派的所需權限。

Postgres 角色的權限

postgres 使用者需要額外的權限。

新角色的權限:CREATEDB

對於新角色:

  • 管理伺服器資料庫的權限:ALL
  • 公用方案中所有表格的權限:ALL。公用方案中所有表格的權限:ALL
  • 公用方案中所有序列的權限:ALL。公用方案中所有序列的權限:ALL

設定用於復原管理伺服器資料的權限

如要從備份中還原管理伺服器資料,請使用安裝管理伺服器所用的 Windows 帳戶執行 klbackup 公用程式。請注意,用於存取 DBMS 的 Postgres 角色必須具有管理伺服器資料庫的擁有者權限。

另請參閱:

主要安裝情境

此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。