Рекомендуемая настройка учетной записи службы для MS SQL Server 2005/2008

tag-icon tag-icon sql-server active-directory windows-service service-accounts
Рекомендуемая настройка учетной записи службы для MS SQL Server 2005/2008

В нашей среде имеется несколько серверов MS SQL, на которых запущены либо SQL Server 2005 standard/enterprise, либо SQL Server 2008 enterprise. В настоящее время службы SQL работают как локальная или сетевая служба, и MS рекомендует запускать их как учетную запись домена, к чему мы и стремимся.

Является ли лучшей практикой в ​​отношении учетных записей домена иметь отдельную учетную запись домена для каждой службы на каждом сервере? Так что если у нас есть 4 службы SQL, которые мы хотим запустить на сервере, и у нас есть 50 серверов, мы создадим 50 * 4 = 200 учетных записей в AD? Мне это кажется чрезмерным, и мне было интересно, есть ли у кого-нибудь реальный опыт с таким типом настройки и его управлением.

решение1

Я обычно создаю одну учетную запись службы домена и использую ее для всех служб на всех серверах. Я бы посоветовал сделать одно из двух:

  1. Создайте единую учетную запись службы домена, которая будет использоваться для всех служб на всех серверах.

  2. Создайте учетную запись службы домена для всех служб на каждом сервере, чтобы у вас была отдельная учетная запись службы для каждого сервера вместо четырех учетных записей службы для каждого сервера.

решение2

Если ваша схема AD находится на уровне 2008 R2 и серверы SQL также находятся на уровне R2, вам может потребоваться изучитьУправляемые учетные записи услуг. (судя по всему, это можно использовать, если у вас более ранние версии, но это скорее морока, чем польза)

Вы можете настроить запланированную и автоматическую смену паролей, преобразовать существующие учетные записи служб в управляемые, установить срок действия учетных записей, создать их в домене или локально... Похоже, что затем для учетных записей будут сгенерированы новые пароли в соответствии с политикой домена Участник домена: максимальный срок действия пароля учетной записи компьютера в разделе Локальная политика\Параметры безопасности.

решение3

мы запускаем все наши службы SQL под учетной записью администратора домена, наша политика безопасности сети такова, что нам необходимо часто менять пароль администратора домена, одна из альтернатив, которую я могу предложить, — это создать пользователя домена с правами администратора. Целесообразно ли это, или мне следует использовать только учетную запись администратора, или есть какие-либо альтернативы с большей безопасностью? Пожалуйста, оставьте свой отзыв.

С уважением Правин

Связанный контент