Я хочу создать пользователя домена, который запускает учетные записи службы SQL. Причина этого в том, что у меня настроено зеркальное отображение, и MS рекомендует иметь одного и того же пользователя (учетную запись пользователя домена), запускающего службы на всех компьютерах в конфигурации, чтобы обеспечить правильную работу зеркального отображения. Прямо сейчас в тестовой среде я просто запустил их под моим пользователем для простоты. Но теперь, когда я знаю, что делаю, я хотел бы более точно протестировать конфигурацию.
Я также знаю, что это упрощает работу, если этот пользователь является администратором.
У меня такой вопрос.
Должен ли я просто создать простого пользователя SQLSERVICEUSER и сделать его администратором? Мне это кажется немного небезопасным. У кого-нибудь есть более элегантное решение?
Установка sqlserviceaccount в качестве администратора действительно становится значительно более небезопасной (или, возможно, потеря подотчетности было бы лучше) с большим количеством людей, которые знают пароль, поэтому вы не ошибаетесь, чтобы беспокоиться об этом. Не говоря уже о том, что сохранение минимальных разрешений помогает гарантировать, что учетная запись не сможет много сделать для реального сервера, если учетная запись будет взломана.
Вы упомянули, что у вас есть тестовая среда, поэтому у вас уже есть идеальное место для тестирования пользователя без прав администратора. Просто переключите службу из вашей учетной записи на обычного пользователя. Я знаю, что SQL Server не требует для запуска учетной записи администратора, так что просто опускайтесь как можно ниже на тотемный столб. Если вы назначаете услугу обычному пользователю, и это дает вам неверные права доступа, опубликуйте их здесь, и мы посмотрим, сможем ли мы с ними справиться. Хотя предоставить права администратора проще, в систему добавляется еще один всемогущий пользователь, за которым необходимо следить.
Обновить:
В двух следующих статьях предлагаются способы настройки учетных записей для зеркального отображения базы данных:
Как: разрешить доступ к сети с зеркальным отображением базы данных с помощью проверки подлинности Windows (Transact-SQL)
Настройка учетных записей входа для зеркального отображения базы данных