При установке MS SQL Server 2008 необходимо связать учетную запись службы с установкой (возможно, даже несколько учетных записей, одна для агента SQL Server, одна для служб Analysis Services, ..., но оставим это для простоты). Учетная запись службы может быть локальной или учетной записью домена Windows.
Если используется учетная запись домена: Может ли MSSQL запускаться, если подключение к контроллерам домена временно отключено? Если да:
Должен ли каждый экземпляр СУБД на каждом сервере иметь отдельную учетную запись, или имеет смысл использовать конкретную учетную запись домена "MSSQL" на всех MSSQL-установках в организации?
Если для каждого экземпляра на каждом сервере используются отдельные учетные записи: Есть ли смысл создавать специальную группу безопасности MSSQL? в домене и поместите все учетные записи службы MSSQL в эту группу, возможно, для облегчения репликации и т. д.?
Есть ли общее, общепринятое соглашение об именах для сервисных аккаунтов MSSQL?
Если используется учетная запись домена: Можно ли запустить MSSQL, если подключение к контроллерам домена временно отключено?
Нет, даже если вы запускаете MSSQL, он использует аутентификацию не только при запуске. Если вас беспокоят простои при установке исправлений для ЦС и т. Д., Я бы порекомендовал инвестировать в более чем один DC или более надежную инфраструктуру AD.
Должен ли каждый экземпляр СУБД на каждом сервере иметь отдельную учетную запись, или имеет смысл использовать определенную учетную запись домена «MSSQL» на всех установках MSSQL в организации?
У каждого сервера должна быть своя учетная запись. Вы можете без проблем использовать одну учетную запись, но имейте в виду, что это ограничивает вас с точки зрения гибкости в различении серверов, использующих эту учетную запись.
Если для каждого экземпляра на каждом сервере используются отдельные учетные записи: имеет ли смысл создавать специальную группу безопасности MSSQL в домене и помещать в эту группу все учетные записи службы MSSQL, возможно, для облегчения репликации и т. Д.?
Группы для учетных записей - это хорошо, думаю, когда я их настраивал, для группы это было не нужно, но не помешало бы.
Существует ли общее, общепринятое соглашение об именах для учетных записей служб MSSQL?
Это должно соответствовать стандартам именования вашей организации. Это зависит от размера вашей организации, а иногда и от кластеризации. Имейте в виду, что используйте что-то вроде sqlserver или svcsql только в том случае, если вы на 100% уверены, что между ними не будет необходимости. Лучшей идеей может быть использование имени хоста или кластера. svcsqlnode1, svcsqlcluster1. Это общие примеры, и они всегда стараются соответствовать стандартным соглашениям об именах.
Может ли MSSQL запуститься, если подключение к контроллерам домена временно отключено?
Я предполагаю, что да, так же как вы можете войти в свой кэшированный профиль, когда DC недоступен.
Должен ли каждый экземпляр СУБД на каждом сервере иметь отдельную учетную запись?
Это зависит от того, если все серверы имеют одинаковую степень защиты, я бы просто использовал одну учетную запись для удобного управления. Если разные базы данных имеют разных клиентов / отделов / администраторов или у некоторых есть конфиденциальные данные, а у некоторых нет, я бы рассмотрел отдельных пользователей.
Есть ли смысл создавать специальную группу безопасности MSSQL?
Да, если вы используете несколько учетных записей.
Существует ли общее, общепринятое соглашение об именах для учетных записей служб MSSQL?
Даже если есть, я бы предложил создать собственное соглашение по соображениям безопасности.