私たちの環境には、SQL Server 2005 standard/enterprise または SQL Server 2008 enterprise のいずれかを実行している MS SQL サーバーが多数あります。現在、SQL サービスはローカル サービスまたはネットワーク サービスとして実行されており、MS が推奨するベスト プラクティスはドメイン アカウントとして実行することであり、私たちはこれに移行しようとしています。
ドメイン アカウントに関するベスト プラクティスは、サーバーごとにサービスごとに個別のドメイン アカウントを持つことです。つまり、サーバーごとに実行する SQL サービスが 4 つあり、サーバーが 50 台ある場合、AD に 50 * 4 = 200 個のアカウントを作成することになりますか。これは過剰に思えます。このタイプの設定とその管理について実際に経験のある方がいるかどうか知りたいです。
答え1
私は通常、単一のドメイン サービス アカウントを作成し、それをすべてのサーバー上のすべてのサービスに使用します。私の提案は、次の 2 つのいずれかを実行することです。
すべてのサーバー上のすべてのサービスに使用される単一のドメイン サービス アカウントを作成します。
各サーバーのすべてのサービスに対してドメイン サービス アカウントを作成します。これにより、サーバーごとに 4 つのサービス アカウントではなく、サーバーごとに個別のサービス アカウントが作成されることになります。
答え2
ADスキーマが2008 R2でSQLサーバーもR2の場合、調査する必要があるかもしれません。管理されたサービス アカウント(以前のバージョンを使用している場合はこれを使用できるようですが、手間がかかるようです)
スケジュールされた自動パスワード変更を設定したり、既存のサービス アカウントを管理対象に変換したり、アカウントの有効期限を設定したり、ドメインまたはローカルにアカウントを作成したりできます。その後、ローカル ポリシー\セキュリティ オプションの下にあるドメイン メンバー: マシン アカウント パスワードの最大有効期間というドメイン ポリシーに従って、アカウントに新しいパスワードが生成されるようです。
答え3
すべての SQL サービスをドメイン管理者アカウントで実行しています。ネットワーク セキュリティ ポリシーでは、ドメイン管理者のパスワードを頻繁に変更する必要があります。代替案として、管理者権限を持つドメイン ユーザーを作成する方法があります。この方法はお勧めですか。それとも、管理者アカウントのみを使用するべきですか。または、セキュリティが強化された代替案はありますか。フィードバックをお寄せください。
よろしくお願いいたします。プラヴィーン