在我的组织中,围绕服务帐户存在着相互矛盾的思想流派。这是因为他们希望部署 SQL Server 的唯一目的是运行 SharePoint 数据库。
一组人认为,应该为每个服务器应用程序和每个环境(例如生产、UAT/测试、开发)使用不同的服务帐户。因此,在此示例中,SharePoint 的每个 SQL Server 安装都将为生产、UAT 和开发提供自己的服务帐户。他们的理由是安全性和防止环境之间的干扰。
另一个人认为,服务帐户应该在生产环境和测试环境之间共享。因此,例如,在生产环境、UAT 和开发环境中应该有一个 SQL Server 服务帐户。(我不确定是否在不同的服务器应用程序之间共享该帐户。)他们的理由再次是安全性,因为需要更改的密码更少,复杂性也更低。
考虑到安全性、正常运行时间和可靠性、防止错误、风险管理等......应该推荐什么方法?
谢谢你!
答案1
我们遵循第一组,每个环境和服务器应用程序都有一个单独的服务帐户。
主要原因是安全性,但另一个很好的理由是,如果在测试或开发中正在进行某些工作,而这需要改变安全性,那么您知道它不会以任何方式影响生产环境。
答案2
一定要让您的开发和 UAT/测试环境共享相同的服务帐户。但要将生产分开。除了其他答案中已经强调的变更管理问题外,开发和测试人员在正常情况下不应该访问生产系统。
答案3
当然,出于安全考虑,你往往会为每个应用程序/服务设置一个帐户。但是,我认为你不需要为产品、UAT 和开发设置不同的帐户。这意味着在部署应用程序时必须更改配置,这可能会成为错误来源。
编辑:我刚刚看到 Bravax 的回答,他提出了一个关于更改开发账户不会影响实时系统的有效观点。