Назад | Перейти на главную страницу

Не удается добавить учетную запись службы в группу домена во время установки кластера SQL

Я устанавливаю экземпляр 2008 года на компьютер с сервером 2003, на котором уже работает SQL 2005.

Мне нужно настроить группы домена для этапа настройки безопасности:

http://msdn.microsoft.com/en-us/library/ms179530.aspx

В Windows Server 2003 укажите группы домена для служб SQL Server. Все разрешения на ресурсы контролируются группами уровня домена, которые включают учетные записи служб SQL Server в качестве членов группы.

Подробнее об этом здесь:

http://support.microsoft.com/kb/910708

У меня возникли проблемы с возможностью добавить учетные записи служб Windows в группы во время установки. Администраторам безопасности пришлось сделать мою учетную запись администратором домена, но они не решились сделать это.

Учетная запись, под которой выполняется программа установки SQL Server, должна иметь разрешения на добавление учетных записей в группы домена.

Есть ли особые настройки безопасности, которые позволят моей учетной записи добавлять учетные записи в группу?

ОБНОВЛЕНИЕ: ищу конкретные инструкции. У меня есть глобальная группа под названием domain \ servicegroup - что мне сказать специалистам по безопасности? Я хотел бы разобраться сам, но у меня нет доступа к этому материалу.

Вам не обязательно быть администратором домена, вам просто нужно, чтобы кто-то, являющийся администратором домена, добавил учетную запись службы в уже созданные группы домена, которые вы указываете при установке. Установщик SQL проверит членство в группе, чтобы убедиться, что учетная запись есть, и если нет, он попытается добавить ее, что не может сделать не-DA.

Это хороший вопрос. Вашим администраторам безопасности не обязательно делать вас администратором домена - они просто должны делегировать правильные разрешения для OU, к которому группа принадлежит в Active Directory. Я включил ссылку на хорошую статью ниже. Администраторы безопасности могут делегировать определенные разрешения вам или группе администраторов баз данных, чтобы иметь возможность управлять группами без необходимости предоставлять вам доступ ко всему каталогу. Возможно, им потребуется создать новое подразделение для групп и учетных записей SQL Server, но в любом случае это может быть полезно для вас в долгосрочной перспективе.

http://www.windowsecurity.com/articles/Implementing-Active-Directory-Delegation-Administration.html