DBMS に使用するアカウント

2024年2月14日

ID 156275

管理サーバーをインストールして使用するには、管理サーバーのインストーラー(以降、インストーラーとも表記)を実行する Windows アカウント、管理サーバーサービスを開始する Windows アカウント、および DBMS にアクセスするための内部 DBMS アカウントが必要です。新しいアカウントを作成するか、既存のアカウントを使用できます。これらすべてのアカウントには、特定の権利が必要です。必要なアカウントとその権限のセットは、次の基準に応じて異なります:

  • DBMS タイプ:
    • (Windows 認証または SQL Server 認証を備えた)Microsoft SQL Server
    • MySQL または MariaDB
    • PostgreSQL または Postgres Pro
  • DBMS の場所:
    • ローカル DBMSローカル DBMS とは、管理サーバーと同じデバイスにインストールされている DBMS を意味します。
    • リモート DBMSリモート DBMS は、別のデバイスにインストールされた DBMS です。
  • 管理サーバーデータベースの作成方法:
    • 自動管理サーバーのインストール中に、インストーラーを使用して、管理サーバーデータベース(以降、サーバーデータベースと表記)を自動的に作成できます。
    • 手動サードパーティ製品(SQL Server Management Studio など)またはスクリプトを使用して、空のデータベースを作成できます。その後、管理サーバーのインストール時に、このデータベースをサーバーデータベースとして指定できます。

アカウントに権限とアクセス許可を付与するときは、最小特権の原則に従います。つまり、付与する権限は、必要なアクションを実行するのに必要最低限にすべきです。

以下の表は、管理サーバーをインストールして起動する前にアカウントに付与する必要があるシステム権限と DBMS 権限に関する情報を示しています。

Windows 認証を使用する Microsoft SQL Server

DBMS として SQL Server を選択すると、Windows 認証を使用して SQL Server にアクセスできます。インストーラーの実行に使用する Windows アカウントと、管理サーバーサービスの開始に使用する Windows アカウントのシステム権限を設定します。SQL Server で、これら両方の Windows アカウントのログインを作成します。サーバーデータベースの作成方法に応じて、次の表の説明に従って必要な SQL Server 権限をこれらのアカウントに付与します。アカウントの権限を設定する方法の詳細は、「PostgreSQL および Postgres Pro を使用するためのアカウントの設定」を参照してください。

DBMS:Windows 認証を備えた Microsoft SQL Server(Express Edition を含む)

 

自動データベース作成(インストーラーによる)

手動データベース作成(管理者による)

インストーラーを実行しているアカウント

  • リモート DBMS:DBMS がインストールされているリモートデバイスのドメインアカウントのみ。
  • ローカル DBMS:ローカル管理者アカウントまたはドメインアカウント。
  • リモート DBMS:DBMS がインストールされているリモートデバイスのドメインアカウントのみ。
  • ローカル DBMS:ローカル管理者アカウントまたはドメインアカウント。

インストーラーを実行しているアカウントの権限

  • システム権限:ローカル管理者権限
  • SQL Server の権限:
    • サーバーレベルロール:sysadmin
  • システム権限:ローカル管理者権限
  • SQL Server の権限:
    • サーバーレベルでのロール:public
    • サーバーデータベースのデータベースロールメンバーシップ:db_owner、public
    • サーバーデータベースの既定スキーマ:dbo

管理サーバーのサービスアカウント

  • リモート DBMS:DBMS がインストールされているリモートデバイスのドメインアカウントのみ。
  • ローカル DBMS:
    • 管理者が選択した Windows アカウント
    • インストーラーが自動的に作成する KL-AK-* 形式のアカウント
  • リモート DBMS:DBMS がインストールされているリモートデバイスのドメインアカウントのみ。
  • ローカル DBMS:

管理サーバーのサービスアカウント権限

  • システム権限:必要な権限がインストーラーによって付与されます
  • SQL Server 権限:必要な権限がインストーラーによって付与されます
  • システム権限:必要な権限がインストーラーによって付与されます
  • SQL Server の権限:
    • サーバーレベルでのロール:public
    • サーバーデータベースのデータベースロールメンバーシップ:db_owner、public
    • サーバーデータベースの既定スキーマ:dbo

SQL Server 認証を使用する Microsoft SQL Server

DBMS として SQL Server を選択すると、SQL Server 認証を使用して SQL Server にアクセスできます。インストーラーの実行に使用する Windows アカウントと、管理サーバーサービスの開始に使用する Windows アカウントのシステム権限を設定します。SQL Server で、パスワードを使用してログインを作成し、認証に使用します。次に、この SQL Server アカウントに、次の表に示す必要な権限を付与します。アカウントの権限を設定する方法の詳細は、「SQL Server を使用するためのアカウントの設定(SQL Server 認証)」を参照してください。

DBMS:SQL Server 認証を備えた Microsoft SQL Server(Express Edition を含む)

 

自動データベース作成(インストーラーによる)

手動データベース作成(管理者による)

インストーラーを実行しているアカウント

  • リモート DBMS:DBMS がインストールされているリモートデバイスのドメインアカウントのみ。
  • ローカル DBMS:ローカル管理者アカウントまたはドメインアカウント。
  • リモート DBMS:DBMS がインストールされているリモートデバイスのドメインアカウントのみ。
  • ローカル DBMS:ローカル管理者アカウントまたはドメインアカウント。

インストーラーを実行しているアカウントの権限

システム権限:ローカル管理者権限

システム権限:ローカル管理者権限

管理サーバーのサービスアカウント

  • リモート DBMS:DBMS がインストールされているリモートデバイスのドメインアカウントのみ。
  • ローカル DBMS:
    • 管理者が選択した Windows アカウント
    • インストーラーが自動的に作成する KL-AK-* 形式のアカウント
  • リモート DBMS:DBMS がインストールされているリモートデバイスのドメインアカウントのみ。
  • ローカル DBMS:
    • 管理者が選択した Windows ユーザーアカウント
    • インストーラーが自動的に作成する KL-AK-* 形式のアカウント

管理サーバーのサービスアカウント権限

システム権限:必要な権限がインストーラーによって付与されます

システム権限:必要な権限がインストーラーによって付与されます

SQL Server 認証に使用されるログインの権限

データベースの作成と管理サーバーのインストールに必要な SQL Server 権限:

  • サーバーレベルでのロール:public
  • マスターデータベースのデータベースロールメンバーシップ:db_owner
  • マスターデータベースの既定スキーマ:dbo
  • アクセス権限:
    • CONNECT ANY DATABASE
    • CONNECT SQL
    • CREATE ANY DATABASE
    • VIEW ANY DATABASE

    管理サーバーを使用するために必要な SQL Server 権限:

  • サーバーレベルでのロール:public
  • サーバーデータベースのデータベースロールメンバーシップ:db_owner
  • サーバーデータベースの既定スキーマ:dbo
  • アクセス権限:
    • CONNECT SQL
    • VIEW ANY DATABASE

SQL Server の権限:

  • サーバーレベルでのロール:public
  • サーバーデータベースのデータベースロールメンバーシップ:db_owner
  • サーバーデータベースの既定スキーマ:dbo
  • アクセス権限:
    • CONNECT SQL
    • VIEW ANY DATABASE

管理サーバーのデータ復旧のための SQL Server 権限の設定

バックアップから管理サーバーデータを復元するには、管理サーバーのインストールに使用した Windows アカウントで klbackup ユーティリティを実行します。SQL Server で klbackup ユーティリティを起動する前に、この Windows アカウントに関連付けられた SQL Server ログインに権限を付与します。SQL Server の権限は、管理サーバーのバージョンによって異なります。バージョン 14.2 以降の管理サーバーの場合、sysadmin サーバーレベルロールまたは dbcreator サーバーレベルロールを付与できます。

管理サーバーデータベースの回復のための SQL Server 権限

バージョン 14.2 以降の管理サーバー

管理サーバーのその他のバージョン

  • SQL Server の権限:
    • サーバーレベルロール:sysadmin
  • SQL Server の権限:
    • サーバーレベルロール:sysadmin
  • SQL Server の権限:
    • サーバーレベルロール:dbcreator
  • アクセス権限:
    • VIEW ANY DEFINITION

    klbackup ユーティリティを起動する前に、KLSRV_SKIP_ADJUSTING_DBMS_ACCESS サーバーフラグを指定します。Windows コマンドプロンプトを管理者権限で実行し、現在のディレクトリを klscflag ユーティリティのあるディレクトリに変更します。klscflag ユーティリティは、管理サーバーがインストールされているフォルダーにあります。既定のインストールパス:<Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center。その後、コマンドラインで次のコマンドを実行します:

    klscflag.exe -fset -pv klserver -n KLSRV_SKIP_ADJUSTING_DBMS_ACCESS -t d -v 1

 

MySQL および MariaDB

DBMS として MySQL または MariaDB を選択した場合は、DBMS 内部アカウントを作成し、次の表に示す必要な権限をこのアカウントに付与します。インストーラーと管理サーバーサービスは、この内部 DBMS アカウントを使用して DBMS にアクセスします。データベースの作成方法によって、必要な権限のセットに影響はありません。アカウント権限を設定する方法の詳細は、「MySQL および MariaDB を使用するためのアカウントの設定」を参照してください。

DBMS:MySQL および MariaDB

 

自動または手動のデータベース作成

インストーラーを実行しているアカウント

  • リモート DBMS:DBMS がインストールされているリモートデバイスのドメインアカウントのみ。
  • ローカル DBMS:ローカル管理者アカウントまたはドメインアカウント。

インストーラーを実行しているアカウントの権限

システム権限:ローカル管理者権限

管理サーバーのサービスアカウント

  • リモート DBMS:DBMS がインストールされているリモートデバイスのドメインアカウントのみ。
  • ローカル DBMS:
    • 管理者が選択した Windows アカウント
    • インストーラーが自動的に作成する KL-AK-* 形式のアカウント

管理サーバーのサービスアカウント権限

システム権限:必要な権限がインストーラーによって付与されます

DBMS 内部アカウントの権限

スキーマ権限:

  • 管理サーバーデータベース:ALL(GRANT OPTION を除く)。
  • システムスキーム(mysql および sys):SELECT、SHOW VIEW。
  • sys.table_exists ストアドプロシージャ:EXECUTE(MariaDB 10.5 以前を DBMS として使用する場合、EXECUTE 権限を付与する必要はありません)。

すべてのスキームに対するグローバル権限:PROCESS、SUPER。

管理サーバーのデータ復旧のための権限の設定

内部 DBMS アカウントに付与した権限は、管理サーバーのデータをバックアップから復元するのに十分です。復元を開始するには、管理サーバーのインストールに使用した Windows アカウントで klbackup ユーティリティを実行します。

PostgreSQL または Postgres Pro

PostgreSQL または Postgres Pro を DBMS として選択した場合、ユーザー postgres(Postgres の既定のロール)を使用するか、新しい Postgres ロール(以降、ロールとも表記)を作成して DBMS にアクセスできます。サーバーデータベースの作成方法に応じて、次の表の説明に従って必要な権限をロールに付与します。ロールの権限を設定する方法の詳細は、「PostgreSQL および Postgres Pro を使用するためのアカウントの設定」を参照してください。

DBMS:PostgreSQL または Postgres Pro

 

自動のデータベース作成

手動のデータベース作成

インストーラーを実行しているアカウント

  • リモート DBMS:DBMS がインストールされているリモートデバイスのドメインアカウントのみ。
  • ローカル DBMS:ローカル管理者アカウントまたはドメインアカウント。
  • リモート DBMS:DBMS がインストールされているリモートデバイスのドメインアカウントのみ。
  • ローカル DBMS:ローカル管理者アカウントまたはドメインアカウント。

インストーラーを実行しているアカウントの権限

システム権限:ローカル管理者権限

システム権限:ローカル管理者権限

管理サーバーのサービスアカウント

  • リモート DBMS:DBMS がインストールされているリモートデバイスのドメインアカウントのみ。
  • ローカル DBMS:
    • 管理者が選択した Windows アカウント
    • インストーラーが自動的に作成する KL-AK-* 形式のアカウント
  • リモート DBMS:DBMS がインストールされているリモートデバイスのドメインアカウントのみ。
  • ローカル DBMS:
    • 管理者が選択した Windows アカウント
    • インストーラーが自動的に作成する KL-AK-* 形式のアカウント

管理サーバーのサービスアカウント権限

システム権限:必要な権限がインストーラーによって付与されます

システム権限:必要な権限がインストーラーによって付与されます

Postgres ロールの権限

ユーザー postgres には、追加の権限は必要ありません。

新しいロールの権限:CREATEDB

新しいロールの場合:

  • 管理サーバーデータベースに対する権限:ALL
  • パブリックスキーマ内のすべてのテーブルに対する権限:ALL
  • パブリックスキーマ内のすべてのシーケンスに対する権限:ALL

管理サーバーのデータ復旧のための権限の設定

バックアップから管理サーバーデータを復元するには、管理サーバーのインストールに使用した Windows アカウントで klbackup ユーティリティを実行します。DBMS へのアクセスに使用される Postgres ロールには、管理サーバーデータベースに対する所有者権限が必要です。

関連項目:

主要なインストールシナリオ

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。