Por motivos de segurança, as seguintes contas (ou usuários) em um coletivo do PI AF exigem um nível reduzido de permissões:
• Serviço do SQL Server Database Engine • Serviço do SQL Server Agent
• Serviço do PI AF
• Usuário do criador de coletivos do PI AF • Grupo local AFServers
Para obter mais informações sobre os níveis de privilégios mínimos necessários para a replicação, consulte os seguintes artigos da Microsoft:
• Modelo de segurança do agente de replicação (http://technet.microsoft.com/en-us/library/ ms151868(v=sql.105))
• Requisitos de função de segurança para replicação (http://technet.microsoft.com/en-us/ library/ms152528(v=sql.105))
Cada conta de coletivo do PI AF tem os requisitos de acesso a seguir.
SQL Server Database Engine
Componente Ação necessária
Permissões • Executar como uma conta de poucos privilégios.
• Não execute o serviço SQL Server Database Engine com uma conta com privilégios administrativos locais ou de domínio.
SQL Server Agent
Componente Ação necessária
Permissões • Executar como uma conta de poucos privilégios. • Não executar como NetworkService.
PI AF Server principal Nenhuma ação necessária. PI AF Servers
secundários Nenhuma ação necessária. Banco de dados
primário do PI AF SQL • Se ele ainda não existir, crie um login no SQL Server para a conta na qual oserviço do SQL Server Agent é executado. ◦ Atribuir a função de banco de dados do db_owner no banco de dados
do PIFD para essa conta.
◦ Não conceda a função do sysadmin Server a essa conta.
• Atribuir permissão de leitura à pasta \repldata. Caminho de exemplo: C:\Program Files\Microsoft SQL Server\MSSQL10_50.TEST \MSSQL\repldata
Para obter mais informações, consulte Configurar permissões de pasta no servidor primário coletivo do PI AF.
Bancos de dados secundários do PI AF SQL
• Se ele ainda não existir, crie um login no SQL Server para a conta na qual o serviço do SQL Server Agent é executado no primário.
◦ Atribuir a função de banco de dados do db_owner no banco de dados do PIFD para essa conta.
◦ Não conceda a função do sysadmin Server a essa conta.
Serviço do PI AF
A partir do PI AF 2.7, por padrão, o serviço do PI AF é executado em uma conta virtual, NT SERVICE\AFService. Não executar na conta Local System. A melhor prática é usar uma conta de domínio com poucos privilégios, pois essa conta não exige acesso especial ao banco de dados do PI AF SQL. A conta de serviço do PI AF é adicionada ao grupo de segurança local do Windows, que tem o acesso apropriado atribuído a ele no banco de dados do PI AF SQL.
Componente Ação necessária
Permissões • Executar como uma conta de poucos privilégios. • Não executar como Local System.
PI AF Server principal Nenhuma ação necessária. PI AF Servers
Componente Ação necessária Banco de dados
primário do PI AF SQL • No Windows, adicione a conta de domínio na qual o serviço do PI AF éexecutado para o grupo local do AFServers. • Não crie um login do SQL Server para a conta de serviço do aplicativo PI
AF.
• Não atribua a função de banco de dados db_owner ao banco de dados do PIFD para a conta de serviço do PI AF.
• Não conceda a função do sysadmin Server à conta de serviço do PI AF. Bancos de dados
secundários do PI AF SQL
• No Windows, adicione a conta de domínio na qual o serviço do PI AF é executado para o grupo local do AFServers.
• Não crie um login do SQL Server para a conta de serviço do aplicativo PI AF.
• Não atribua a função de banco de dados db_owner ao banco de dados do PIFD para a conta de serviço do PI AF.
• Não conceda a função do sysadmin Server à conta de serviço do PI AF.
Criador de coletivo do PI AF
Um usuário do domínio, com credenciais do Windows que são autenticadas pelo PI AF, Windows e SQL Server, executa o cliente do PI System Explorer que é usado para criar o coletivo do PI AF.
Componente Ação necessária
Permissões As credenciais que são usadas para criar o coletivo do PI AF são válidas apenas uma vez para criar o coletivo do PI AF. Depois de criar o coletivo do PI AF, você pode remover as permissões especiais.
PI AF Server principal Adicionar as credenciais usadas para criar o coletivo do PI AF no PI System Explorer para o grupo Local Administrators.
PI AF Servers
secundários Adicionar as credenciais usadas para criar o coletivo do PI AF no PI SystemExplorer para o grupo Local Administrators. Banco de dados
primário do PI AF SQL • Se ele ainda não existir, crie um login no SQL Server para a conta dedomínio do criador de coletivo do PI AF. • Adicionar as credenciais usadas para criar o coletivo do PI AF no PI
System Explorer para o grupo Local Administrators. • Conceder a função do sysadmin Server a essa conta. Bancos de dados
secundários do PI AF SQL
• Se ele ainda não existir, crie um login no SQL Server para a conta de domínio do criador de coletivo do PI AF.
• Conceder a função do sysadmin Server a essa conta.
Grupo local AFServers
A única conta que deve existir no grupo local AFServers do Windows é a conta na qual o serviço do PI AF é executado.
Nota:
O grupo local AFServers do Windows é tipicamente criado durante a instalação do banco de dados do PI AF SQL. No entanto, se você usar scripts do SQL para instalar o banco de dados do PIFD, você precisará configurar esse grupo de usuários manualmente.
Componente Ação necessária
Permissões Esse grupo nunca deve receber privilégios de administrador local ou do domínio.
Componente Ação necessária PI AF Servers
secundários Nenhuma ação necessária. Banco de dados
primário do PI AF SQL • Se ele ainda não existir, crie um login no SQL Server para o grupo localAFServers. Nota:
A função de banco de dados do db_AFServer para o banco de dados do PIFD_distribution é automaticamente atribuída a essa conta quando o coletivo do PI AF é criado.
• Conceder a função de banco de dados do db_AFServer no banco de dados do PIFD para essa conta.
• Não atribua a função de banco de dados do db_owner no banco de dados do PIFD para essa conta.
• Não conceda a função do sysadmin Server a essa conta. Bancos de dados
secundários do PI AF SQL
• Se ele ainda não existir, crie um login no SQL Server para o grupo local AFServers.
• Conceder a função de banco de dados do db_AFServer no banco de dados do PIFD para essa conta.
• Não atribua a função de banco de dados do db_owner no banco de dados do PIFD para essa conta.
• Não conceda a função do sysadmin Server a essa conta.