Добро пожаловать в форум, Guest >> Войти | Регистрация | Поиск | Правила | | В избранное | Подписаться | ||
Все форумы / Microsoft SQL Server |
![]() ![]() |
Топик располагается на нескольких страницах: [1] 2 вперед Ctrl→ все |
Александр52 Member Откуда: Кокосовые острова ส็็็็็ Сообщений: 5135 |
Коллеги, как вы считаете, должны ли у DBA быть права локального админа на серверах, на которых находятся БД на его обслуживании? желательно - аргументировано. желательно - с примерами. |
18 окт 13, 10:18 [14996002] Ответить | Цитировать Сообщить модератору |
Сергей Викт. Member Откуда: Москва Сообщений: 888 |
Думаю, что должны. Т.к. бывает возникает необходимость проводить, например, перезагрузку экземпляра сервера. Плюс, например, посмотреть лог файл ошибок винды, чтобы понять, что к чему в случае сбоя и т.д. Вот, к примеру, вчера на работе была ситуация: разрослись все 4 файла tempdb (зависла транзакция). Система начала орать, что нехватает места на жестком диске. Расшаренные папки на сервере не дают возможности удалять файлы, т.е. с любого компа в домене туда можно залить файлы, а удалить может только админ. И вот какой-то "хороший" человек перекидывал 800 Гб информации. Скинул в шару, себе скопировал, а удалить не может. Благо, у меня есть права локального админа: подключился по RDP и удалил данные файлы, высвободив тем самым место. Ну это так, детский пример, конечно, но всё же. |
||
18 окт 13, 10:25 [14996065] Ответить | Цитировать Сообщить модератору |
Glory Member Откуда: Сообщений: 104760 |
А разве какие то действия по _обслуживанию базы_ требуют прав локального админа ? |
||
18 окт 13, 10:27 [14996072] Ответить | Цитировать Сообщить модератору |
Сергей Викт. Member Откуда: Москва Сообщений: 888 |
Небольшая статья |
18 окт 13, 10:30 [14996094] Ответить | Цитировать Сообщить модератору |
Александр52 Member Откуда: Кокосовые острова ส็็็็็ Сообщений: 5135 |
Без локального админа не могу: посмотреть при установке экземпляра лог ошибок посмотреть на системные БД, все ли с ними в порядке/предпринять какие либо действия при сбое узнать загрузку по сети узнать длину очереди диска По сути без прав локального админа - как с одним глазом. |
18 окт 13, 10:37 [14996165] Ответить | Цитировать Сообщить модератору |
Glory Member Откуда: Сообщений: 104760 |
Для установки софта не нужны права админа.
Каким боком права на системные базы sql зависят от прав локального админа
Для мониторинга опять же не нужны права локального админа |
||||||
18 окт 13, 10:43 [14996232] Ответить | Цитировать Сообщить модератору |
Гость333 Member Откуда: Сообщений: 3683 |
Я, простите, не уловил сути: у вас SQL Server используется как файлопомойка?! |
||
18 окт 13, 10:49 [14996290] Ответить | Цитировать Сообщить модератору |
Александр52 Member Откуда: Кокосовые острова ส็็็็็ Сообщений: 5135 |
Glory, 1 - для установки нет. А если в ходе установки возникла ошибка - errorlog - увы, недоступен. 2 - Каким боком? ну вот не могу я зайти в папки, в которых лежат системные БД, нет прав локального админа. 3 - как это не нужны? Как вы зайдете в монитор ресурсов без локального админа? Вы сами как считаете, нужны права лок. админа или нет? |
18 окт 13, 10:54 [14996333] Ответить | Цитировать Сообщить модератору |
Сергей Викт. Member Откуда: Москва Сообщений: 888 |
Там шара "архивная", туда сливаются отчеты из учетки, ВМС и т.д., аоттуда задание забирает файлы на отдельный сервер. Для юзеров реализовано отдельное хранилище. Но вот кому-то было почему-то нужно слить именно туда. Причина того, что шара была открыта для записи для всех членов домена мне не ясна, т.к. это было задолго до моего прихода, и до недавнего времени я не сталкивался с ней, т.к. небыло необходимости. К слову, сейчас шара доступна только админам и учетке, под которой работает скуль. То, что была, как вы сказали, файлопомойка факт=) |
||||
18 окт 13, 10:57 [14996354] Ответить | Цитировать Сообщить модератору |
Glory Member Откуда: Сообщений: 104760 |
А зачем для доступа к файлу/папке нужны именно права админа ?
Вы по списку файлов в папке определяете " все ли с ними в порядке" и тут же "предпринять какие либо действия при сбое" ? И опять же зачем для доступа к файлу/папке нужны именно права админа ?
Под "зайти" вы понимете - как же я залогинюсь на консоль и запущу там PerformaceMonitor ? |
||||||
18 окт 13, 11:00 [14996387] Ответить | Цитировать Сообщить модератору |
Александр52 Member Откуда: Кокосовые острова ส็็็็็ Сообщений: 5135 |
Glory, тоже верно. Можно обойтись без локального админа - выдать гибко нужные права. Под Монитором ресурсов имелась в виду кнопочка в диспетчере задач во вкладке быстродействие. =) |
18 окт 13, 11:13 [14996494] Ответить | Цитировать Сообщить модератору |
Glory Member Откуда: Сообщений: 104760 |
Мониторинг всех ресурсов машины разве является задачей DBA ? |
||
18 окт 13, 11:26 [14996603] Ответить | Цитировать Сообщить модератору |
Александр52 Member Откуда: Кокосовые острова ส็็็็็ Сообщений: 5135 |
Glory, от ресурсов машины зависит производительность БД. Если у меня приложение на паре серверов, связанных по сети - и по какой то причине медленно выполняется запрос - получается мы самостоятельно не сможем определить, что дело в загрузке сети. Что для меня крайне не удобно. |
18 окт 13, 12:04 [14997029] Ответить | Цитировать Сообщить модератору |
alexeyvg Member Откуда: Moscow Сообщений: 31781 |
Как можно владеть всей информацией о работе сиквела, если нет прав к машине, которая есть выделенный только для сиквела сервер? Отвечать за работу сиквела будет DBA (в том числе по перфомансу), а владеть инфой о работе сервера он не будет? Это нереально. Как можно отвечать за работу сиквела, не монитроя работу сервера? Я не понимаю. Конечно, некую инфу dba может получить изнутри сиквела, тот же ввод-вывод по файлам, но это элементарно неудобно. То есть в принципе права админа не особо необходимы, но так же не особо необходим доступ к сиквелу вообще, можно же просто переслать правильные скрипты для настройки службе эксплуатации, она их выполнит. А смотреть на результат не будет, скрипты же правильные, если DBA нормальный? То есть в теории правильно, но это какая то утопия. Ещё вариант - можно дать права на необходимые действия, не дав прав админа. Но в реальности никто не будет этим заниматься, слишком много нужно настраивать. То есть плохое соотношение цена/профит для такого решения. И собственно, непонятно, зачем всё это? Локальные права админа не будут слишком сильно перекрывать права, необходимые DBA, речь же не о правах доменного админа. |
||||
18 окт 13, 12:06 [14997053] Ответить | Цитировать Сообщить модератору |
Glory Member Откуда: Сообщений: 104760 |
Еще раз спрошу - зачем для измерения производительности базы/mssql нужно измерять производительность других процессов ? Откуда DBA знает, какие процессы должны быть установлены на сервере и какие у них проритеты на ресурсы ? |
||
18 окт 13, 12:09 [14997083] Ответить | Цитировать Сообщить модератору |
Glory Member Откуда: Сообщений: 104760 |
Потому что во многих компаниях совмещают роли.
Тогда получается, что при виртуальном сервере я должен буду админить все виртуальные машины и и саму VMware ?
Мониторить - это вовсе не запускать perfmon на консоле. Не говорите мне, что вы 24х7 смотрите в perfmon. |
||||||
18 окт 13, 12:13 [14997139] Ответить | Цитировать Сообщить модератору |
alexeyvg Member Откуда: Moscow Сообщений: 31781 |
Glory, Я, собственно, к чему это всё говорил. Вопрос ТС заключается не в том, возможно ли теоретически исполнять обязанности DBA без прав локального админа, а является ли выдача прав локального админа оптимальным решением для достижения правильного баланса качество администрирования/стоимость/безопасность для компании. Понятно, что правильный баланс для разных компаний разный, но какое решение подходит для в большинства случаев? |
18 окт 13, 12:15 [14997160] Ответить | Цитировать Сообщить модератору |
Glory Member Откуда: Сообщений: 104760 |
Что-то я не увидел в тексте вопроса ТС-а слов про какие то "достижения правильного баланса" |
||
18 окт 13, 12:18 [14997193] Ответить | Цитировать Сообщить модератору |
alexeyvg Member Откуда: Moscow Сообщений: 31781 |
То есть, например: задеплоили новый ETL процесс, что происходит на сервере? А так, естественно, я никогда не мониторю в perfmon, не то что 24х7 :-)
В принципе нужно иметь доступ ко всей инфраструктуре, потому что производительность зависит от всего. Но всё таки локальная машина (в том числе виртуалка) к сиквелу относится самым непосредственным образом, остальное всё таки легче делить с другими специалистами. Соответственно, эффективнее иметь доступ ко всему, но т.к. DBA в 99% случаев не специалист по этому "всему", то хотя бы к серверу... Ко всей цепочку инфраструктуры можно получить доступ и квалифицированную помощь через соответствующих специалистов, но такие цепочки обычно замедляют работу, уменьшают её эффективность, поэтому разумно для DBA начальную часть цепочки контролировать самому, причём с некоторыми звеньями можно работать с помощью специалистов (но не только через них). ИМХО это относится к серверу, на котором стоит сиквел, и к хранилищу. |
||||||||
18 окт 13, 12:27 [14997278] Ответить | Цитировать Сообщить модератору |
alexeyvg Member Откуда: Moscow Сообщений: 31781 |
Конечно, можно раздавать конкретные права, а в случае невозможности обращаться за помощью к другим специалистом, это же всем понятно. Можно вообще админить сиквел без доступа к сиквелу, служебными записками. Теоретически :-) |
||||
18 окт 13, 12:29 [14997305] Ответить | Цитировать Сообщить модератору |
Glory Member Откуда: Сообщений: 104760 |
Ну так и причем тут права локал админа ?
Т.е. уже не локал админ ? |
||||
18 окт 13, 12:29 [14997309] Ответить | Цитировать Сообщить модератору |
Glory Member Откуда: Сообщений: 104760 |
На вопрос - нужны ли DBA права локал админа, мой ответ - нет. На вопрос - можно ли совмещать обязанности DBA и локал админа, мой ответ - да. |
||
18 окт 13, 12:31 [14997328] Ответить | Цитировать Сообщить модератору |
alexeyvg Member Откуда: Moscow Сообщений: 31781 |
А права локального админа, я считаю, должны быть у DBA для оптимального соотношения цена/качество/безопасность.
Понимаете, мы, простые DBA, спрашиваем с практической точки зрения, типа "добиваться у начальства прав админа или нет", а не выясняем теоретические вопросы :-) Вы уж как то слишком строго всё формулируете :-) |
||||||||
18 окт 13, 13:03 [14997690] Ответить | Цитировать Сообщить модератору |
STsarionov Member Откуда: Сообщений: 105 |
а никогда разве не сталкивались с тем, чтобы attach базу к серверу, нужно студию запустить под правами администратора? по другому может не сработать. |
18 окт 13, 15:58 [14999130] Ответить | Цитировать Сообщить модератору |
Glory Member Откуда: Сообщений: 104760 |
А вы тоже все утилиты для работы с mssql запускаете исключительно на консоли сервера ? |
||
18 окт 13, 16:00 [14999147] Ответить | Цитировать Сообщить модератору |
Топик располагается на нескольких страницах: [1] 2 вперед Ctrl→ все |
Все форумы / Microsoft SQL Server | ![]() |