Назад | Перейти на главную страницу

Рекомендуемая настройка учетной записи службы для MS SQL Server 2005/2008

У нас есть несколько серверов MS SQL в нашей среде, работающих под управлением SQL Server 2005 Standard / Enterprise или SQL Server 2008 Enterprise. В настоящее время службы SQL работают как локальная служба или сетевая служба, и MS рекомендует запускать как учетную запись домена, к чему мы и пытаемся двигаться.

Является ли лучшая практика в отношении учетных записей домена иметь отдельную учетную запись домена для каждой службы для каждого сервера? Итак, если у нас есть 4 службы SQL, которые мы хотим запускать на каждом сервере, и у нас есть 50 серверов, мы бы создали 50 * 4 = 200 учетных записей в AD? Мне это кажется чрезмерным, и мне было интересно, есть ли у кого-нибудь реальный опыт работы с этим типом настройки и управления ею.

Обычно я создаю одну учетную запись службы домена и использую ее для всех служб на всех серверах. Я предлагаю сделать одно из двух:

  1. Создайте единую учетную запись службы домена, которая будет использоваться для всех служб на всех серверах.

  2. Создайте учетную запись службы домена для всех служб на каждом сервере, чтобы у вас была отдельная учетная запись службы для каждого сервера вместо четырех учетных записей служб для каждого сервера.

Если ваша схема AD находится на уровне 2008 R2, а серверы SQL также относятся к R2, вы можете исследовать Управляемые учетные записи служб. (похоже, это можно использовать, если вы пользуетесь более ранними версиями, но это звучит как большая боль, чем стоит)

Вы можете настроить запланированную и автоматическую смену пароля, преобразовать существующие учетные записи служб для управления, установить срок действия учетной записи, создать их в домене или локально ... Похоже, что для учетных записей будут сгенерированы новые пароли в соответствии с политикой домена Член домена: максимальный срок действия пароля учетной записи компьютера в разделе «Локальная политика \ Параметры безопасности».

мы запускаем все наши службы SQL под учетной записью администратора домена, наша политика сетевой безопасности такова, что нам нужно часто менять пароль администратора домена, у меня есть одна альтернатива: создать пользователя домена с правами администратора, рекомендуется ли это или я должен используйте только учетную запись администратора или есть альтернативы с большей безопасностью. пожалуйста, оставьте свой отзыв.

С уважением Правин