우리 환경에는 SQL Server 2005 표준/엔터프라이즈 또는 SQL Server 2008 엔터프라이즈를 실행하는 다수의 MS SQL 서버가 있습니다. 현재 SQL 서비스는 로컬 서비스 또는 네트워크 서비스로 실행되고 있으며 MS에서 권장하는 모범 사례는 우리가 지향하는 도메인 계정으로 실행하는 것입니다.
서버별 서비스별로 별도의 도메인 계정을 갖는 것이 도메인 계정과 관련된 모범 사례입니까? 따라서 서버당 실행하려는 SQL 서비스가 4개 있고 서버가 50개라면 AD에 50 * 4 = 200개의 계정을 생성하게 될까요? 이는 나에게 과도한 것으로 보이며 이러한 유형의 설정 및 관리에 대해 실제 경험이 있는 사람이 있는지 궁금합니다.
답변1
나는 일반적으로 단일 도메인 서비스 계정을 만들고 이를 모든 서버의 모든 서비스에 사용합니다. 내 제안은 다음 두 가지 중 하나를 수행하는 것입니다.
모든 서버의 모든 서비스에 사용되는 단일 도메인 서비스 계정을 만듭니다.
각 서버의 모든 서비스에 대해 도메인 서비스 계정을 생성하면 각 서버에 대해 4개의 서비스 계정을 사용하는 대신 각 서버에 대해 별도의 서비스 계정을 갖게 됩니다.
답변2
AD 스키마가 2008 R2이고 SQL 서버도 R2인 경우 조사해 볼 수 있습니다.관리 서비스 계정. (이전 버전을 사용하는 경우 사용할 수 있는 것처럼 보이지만 그만한 가치가 있는 것보다 더 고통스러워 보입니다.)
예약 및 자동 비밀번호 변경을 설정하고, 관리할 기존 서비스 계정을 변환하고, 계정 만료를 설정하고, 도메인에서 또는 로컬로 생성할 수 있습니다. 그러면 도메인 정책에 따라 계정에 새 비밀번호가 생성되는 것 같습니다. 도메인 구성원: 로컬 정책\보안 옵션 아래의 최대 컴퓨터 계정 암호 사용 기간.
답변3
우리는 모든 SQL 서비스를 도메인 관리자 계정으로 실행하고 있으며, 우리의 네트워크 보안 정책은 도메인 관리자 비밀번호를 자주 변경해야 하는 방식입니다. 제가 가지고 있는 한 가지 대안은 관리자 권한이 있는 도메인 사용자를 만드는 것입니다. 이것이 권장됩니까 아니면 해야 할까요? 관리자 계정만 사용하세요. 아니면 더 나은 보안을 제공하는 대안이 있나요? 의견을 보내주세요.
감사합니다 Praveen