Temos vários servidores MS SQL em nosso ambiente executando o SQL Server 2005 padrão/empresarial ou o SQL Server 2008 empresarial. Atualmente, os serviços SQL estão sendo executados como serviço local ou serviço de rede e a prática recomendada pela MS é executar como uma conta de domínio, que é para onde estamos tentando avançar.
A prática recomendada em relação às contas de domínio é ter uma conta de domínio separada por serviço e por servidor? Então se tivermos 4 serviços SQL que queremos rodar por servidor e tivermos 50 servidores, criaríamos 50 * 4 = 200 contas no AD? Isso me parece excessivo e gostaria de saber se alguém tem alguma experiência real com esse tipo de configuração e seu gerenciamento.
Responder1
Geralmente crio uma única conta de serviço de domínio e a uso para todos os serviços em todos os servidores. Minha sugestão seria fazer uma de duas coisas:
Crie uma única conta de serviço de domínio usada para todos os serviços em todos os servidores.
Crie uma conta de serviço de domínio para todos os serviços em cada servidor, assim você terá uma conta de serviço separada para cada servidor, em vez de quatro contas de serviço para cada servidor.
Responder2
Se o seu esquema AD estiver em 2008 R2 e os servidores SQL também forem R2, você pode querer investigarContas de serviço gerenciadas. (parece que isso pode ser usado se você estiver em versões anteriores, mas parece mais chato do que vale a pena)
Você pode configurar alterações de senha programadas e automáticas, converter contas de serviço existentes para serem gerenciadas, definir a expiração da conta, criá-las no domínio ou localmente... Parece que as contas terão então novas senhas geradas para elas de acordo com a política do domínio Membro do domínio: Duração máxima da senha da conta da máquina em Política local\Opções de segurança.
Responder3
executamos todos os nossos serviços SQL sob uma conta de administrador de domínio, nossa política de segurança de rede é tal que precisamos alterar a senha de administrador de domínio com frequência, uma alternativa que tenho é criar um usuário de domínio com privilégios de administrador, isso é aconselhável ou devo use apenas a conta de administrador ou existem alternativas com melhor segurança. por favor, dê seu feedback.
Atenciosamente Praveen