Когда следует создавать / использовать новые учетные записи служб?
В моей организации существуют противоречивые мнения о сервисных аккаунтах. Это произошло потому, что они хотят развернуть SQL Server с единственной целью - запустить базы данных SharePoint.
Одна группа считает, что для каждого серверного приложения и для каждой среды должна использоваться отдельная учетная запись службы (например, производство, UAT/ тестирование, разработка). Таким образом, в этом примере каждая установка SQL Server для SharePoint будет иметь свою собственную учетную запись службы для prod, UAT и dev. Их причинами являются безопасность и предотвращение помех между средами.
Другой считает, что учетные записи служб должны быть разделены между производственной и тестовой средами. Так что для примера будет одна учетная запись службы SQL Server через prod, UAT и dev. (Я не уверен в том, чтобы разделить эту учетную запись между различными серверными приложениями.) Их причинами снова является безопасность, так как меньше паролей, которые нужно изменить, и уменьшена сложность.
Принимая во внимание безопасность, время безотказной работы и надежность, защиту от ошибок, управление рисками и т. Д.... каким должен быть рекомендуемый подход?
Спасибо!
3 ответа
Мы следуем за первой группой, которая имеет отдельную учетную запись службы для каждого приложения среды и сервера.
Основной причиной является безопасность, но другая веская причина заключается в том, что если в test или dev выполняется какая-то работа, требующая изменения безопасности, вы знаете, что это никак не влияет на производственную среду.
Разумеется, пусть ваши среды разработки и UAT/ тестирования используют одни и те же учетные записи служб. Но держите производство отдельно. Помимо проблем управления изменениями, уже отмеченных в других ответах, разработчики и тестировщики не должны иметь никакого бизнеса, связанного с производственными системами в ходе обычных событий.
Конечно, проблемы безопасности могут привести к одной учетной записи на приложение / услугу. Тем не менее, я не думаю, что вам нужно переходить на уровень наличия разных аккаунтов для prod, UAT & dev. Это будет означать, что конфигурация должна будет измениться при развертывании приложения, и это может стать источником ошибки.
РЕДАКТИРОВАТЬ: Я только что видел ответ Бравакса, и он поднимает обоснованный вопрос об изменениях в учетных записях разработчиков, не влияющих на живую систему.