我們的環境中有許多 MS SQL 伺服器執行 SQL Server 2005 標準/企業版或 SQL Server 2008 企業版。目前,SQL 服務是作為本機服務或網路服務運行,MS 建議的最佳實踐是作為網域帳戶運行,這也是我們正在努力實現的目標。
關於網域帳戶的最佳實踐是每個伺服器的每個服務都有一個單獨的網域帳戶嗎?因此,如果我們想在每台伺服器上執行 4 個 SQL 服務,並且我們有 50 台伺服器,那麼我們會在 AD 中建立 50 * 4 = 200 個帳戶嗎?這對我來說似乎太過分了,我想知道是否有人對這種類型的設定及其管理有任何真正的經驗。
答案1
我通常會建立一個網域服務帳戶並將其用於所有伺服器上的所有服務。我的建議是做以下兩件事之一:
建立用於所有伺服器上的所有服務的單一網域服務帳戶。
為每台伺服器上的所有服務建立一個網域服務帳戶,以便每台伺服器都有一個單獨的服務帳戶,而不是每台伺服器有四個服務帳戶。
答案2
如果您的 AD 架構是 2008 R2 且 SQL 伺服器也是 R2,您可能需要調查託管服務帳戶。 (看起來如果您使用的是早期版本,則可以使用此功能,但這聽起來比其價值更痛苦)
您可以設定計劃和自動密碼變更、轉換要管理的現有服務帳戶、設定帳戶過期、在網域或本機建立它們...看起來帳戶將根據網域原則為其產生新密碼網域成員:本機原則\安全選項下的最長計算機帳戶密碼期限。
答案3
我們在網域管理員帳戶下運行所有 SQL 服務,我們的網路安全策略是這樣一種方式,我們需要經常更改網域管理員密碼,我的一個替代方案是建立一個具有管理員權限的網域用戶,這是可取的還是應該我只使用管理員帳戶或是否有任何安全性更好的替代方案。請提供您的回饋。
問候普拉文