Организация безопасности папки моментальных снимков

Папка моментальных снимков представляет собой каталог, в котором хранятся файлы моментальных снимков. Рекомендуется выделить папку для хранения моментальных снимков. Предоставьте агенту моментальных снимков разрешение на запись в данную папку и убедитесь, что разрешение на чтение предоставлено только учетной записи Windows, которая используется агентом слияния или агентом распространителя при обращении к данной папке. Чтобы обеспечить доступ к папке моментальных снимков, расположенной на удаленном компьютере, учетная запись Windows, связанная с агентом, должна быть учетной записью домена.

ПримечаниеПримечание

Windows Vista включает новое средство, «Управление учетными записями пользователя» (UAC), помогающее администраторам управлять своими повышенными пользовательскими разрешениями (иногда называемыми правами доступа). По умолчанию под управлением Windows Vista администраторы не пользуются своими административными правами. Вместо этого они выполняют большинство операций от имени обычных пользователей (не администраторов) и используют административные права только по необходимости. С помощью средства «Управление учетными записями пользователя» можно запретить административный доступ к хранилищу моментального снимка. Поэтому необходимо явно предоставить разрешения на доступ к хранилищу моментального снимка учетным записям Windows, которые используются агентом моментальных снимков, агентом распространителя и агентом слияния. Это необходимо делать даже в том случае, если эти учетные записи Windows являются членами группы «Администраторы».

При настройке распространителя с помощью мастера настройки распространителя или мастера создания публикаций папке моментального снимка назначается по умолчанию следующее местоположение: X:\Program Files\Microsoft SQL Server\<instance>\MSSQL\ReplData. Если используется удаленный распространитель или подписки по запросу, то необходимо указывать не локальный путь, а путь к общей сетевой папке в формате UNC (например, \\<computername>\snapshot).

Предоставлять разрешения на доступ к папке моментальных снимков необходимо в соответствии со способом доступа к данной папке. В Microsoft Windows 2003 используются следующие вкладки диалогового окна:

  • Если указывается локальный путь, предоставляйте разрешения на работу с папкой на вкладке Безопасность диалогового окна Свойства.

  • Если указывается сетевой ресурс, предоставляйте разрешения на работу с папкой на вкладке Общий ресурс диалогового окна Свойства.

    ПримечаниеПримечание

    Если агент репликации запущен на распространителе, то в диалоговом окне Свойства этой папки на вкладке Безопасность необходимо предоставить учетной записи Windows разрешение на запуск агента. Это необходимо делать даже в том случае, если используется общая сетевая папка. Это относится к агенту слияния и агенту распространителя для принудительных подписок и к агенту моментальных снимков, когда издатель и распространитель располагаются на одном и том же компьютере.

Дополнительные сведения о предоставлении разрешений для локальных путей и общих сетевых ресурсов см. в документации по Windows.

ПримечаниеПримечание

При удалении публикации репликация согласно контексту безопасности учетной записи службы SQL Server пытается удалить папку моментальных снимков. Если у этой учетной записи нет достаточных прав доступа, войдите в систему под другой учетной записью с необходимыми разрешениями и удалите папку вручную. Чтобы удалить папку, необходимо право доступа Изменение, если папка расположена по локальному пути, или разрешение Полный доступ, если папка является сетевым ресурсом.

Доставка моментальных снимков по FTP-протоколу

В соответствии с оптимальными методами обеспечения безопасности рекомендуется хранить моментальные снимки в общем UNC-ресурсе, хотя снимки можно хранить и в общем FTP-ресурсе, а затем доставлять их подписчику по протоколу FTP. При настройке FTP-сервера убедитесь, что виртуальный каталог предоставляет основной общий UNC-ресурс, и агент моментальных снимков обладает разрешением на запись для публикации.

Чтобы настроить подписчик на получение моментальных снимков по FTP, сначала установите FTP-сервер с именем для входа и паролем, предоставляющими подписчику доступ на чтение (или «получение»), который необходим для загрузки файлов моментальных снимков.

Сведения о доставке моментальных снимков по FTP см. в разделе Доставка моментального снимка через FTP.

Сведения о задании и изменении пароля для доступа к моментальным снимкам по FTP см. в подразделе «Доставка моментальных снимков по FTP» раздела Организация безопасности издателя.

См. также

Основные понятия

Альтернативные местоположения папки моментальных снимков

Инициализация подписки с помощью моментального снимка

Рекомендации по защите репликации

Передача моментальных снимков через FTP

Другие ресурсы

Безопасность и защита (репликация)