Рекомендуемая настройка учетной записи службы для MS SQL Server 2005/2008

В нашей среде есть несколько серверов MS SQL, работающих под управлением SQL Server 2005 standard/enterprise или SQL Server 2008 enterprise. В настоящее время службы SQL работают как локальные службы или сетевые службы, и рекомендуется, чтобы MS рекомендовала использовать учетную запись домена, к чему мы и стремимся.

Рекомендуется ли в отношении учетных записей домена иметь отдельную учетную запись домена для каждой службы на сервер? Итак, если у нас есть 4 службы SQL, которые мы хотим запустить на каждом сервере, и у нас есть 50 серверов, мы бы создали 50 * 4 = 200 учетных записей в AD? Это кажется мне чрезмерным, и мне было интересно, есть ли у кого-нибудь реальный опыт работы с этим типом установки и ее управлением.

6

active-directory sql-server windows-service service-accounts

Источник

BoxerBucks 01 июн '10 в 21:07

3 ответа

Решение

Если ваша схема AD на 2008 R2 и SQL-серверы также R2, вы можете исследовать управляемые учетные записи служб. (похоже, это можно использовать, если вы работаете на более ранних версиях, но это звучит как боль, чем стоит)

Вы можете настроить запланированные и автоматические изменения паролей, преобразовать существующие учетные записи служб для управления, установить срок действия учетной записи, создать их в домене или локально... Похоже, что для учетных записей затем будут созданы новые пароли для них в соответствии с политикой домена Член домена: максимальный срок действия пароля учетной записи компьютера в разделе "Локальная политика \ Параметры безопасности".

1

Источник

Kara Marfia 23 авг '10 в 19:19

Мы запускаем все наши службы SQL под учетной записью администратора домена, наша политика сетевой безопасности такова, что нам нужно часто менять пароль администратора домена, у меня есть одна альтернатива, которая заключается в том, чтобы создать пользователя домена с правами администратора, желательно ли это или используйте только учетную запись администратора или есть какие-либо альтернативы с большей безопасностью. Пожалуйста, дайте свой отзыв.

С уважением Правин

-1

Источник

13 авг '10 в 12:28

Другие вопросы по тегам active-directory sql-server windows-service service-accounts

joeqwerty 01 июн '10 в 22:46 2010-06-01 22:46 · Accepted Answer · 2010-06-01 22:46

Обычно я создаю одну учетную запись службы домена и использую ее для всех служб на всех серверах. Мое предложение было бы сделать одну из двух вещей:

Создайте одну учетную запись службы домена, которая будет использоваться для всех служб на всех серверах.
Создайте учетную запись службы домена для всех служб на каждом сервере, чтобы у вас была отдельная учетная запись службы для каждого сервера вместо четырех учетных записей службы для каждого сервера.