免责声明:我不是 DBA。我是一名数据库开发人员。
一位 DBA 刚刚向我们的数据管理员发送了一份报告,并计划从一组服务器上的 sysadmin 角色中删除 NT AUTHORITY\SYSTEM 帐户。(他们可能违反了收到的一些审计报告)。
我看到MSKB 文章上面说不要这么做。
从我在网上阅读各种不同的信息来看,即使 SQL Server 和代理服务等都在专用帐户下运行,许多特殊服务/操作(卷复制、全文索引、MOM、Windows 更新)也会使用该帐户。
答案1
如果你们已经制定了变更管理流程,那么就挑战一下。确保他们知道(他们确实应该知道)这一点,并得到他们的确认,这不会影响任何服务。
如果您没有变更管理流程来应对这一挑战,那么我至少会将其带给他们。希望您工作的开发人员和管理员之间能保持友好关系,这样你们就能互相学习。他们可能知道风险,并可能向您解释他们这样做的原因,并向您展示他们如何以安全的方式做到这一点。
答案2
这些人是否被问过为什么他们想删除它,他们是否首先了解系统帐户的用途?我同意您关于此处涉及审计报告的猜测,我还猜测该报告仅列出了哪些帐户有权做什么,并且 DBA 会盲目遵循它,删除他们不认识的任何帐户。
基本上,系统帐户用于授予操作系统本身执行操作的权限。它不是一般用户帐户,实际上不应如此对待。
如果 DBA 决心删除它,也许可以尝试建议他们先在测试系统上执行此操作(最好是每天都在使用的系统),等待一个月看看是否发生任何事情,然后再做出最终决定。
答案3
您没有说是哪个版本,这是关键。如果您说的是 SQL Server 2000,并且安装了全文,那么您无法删除它。原因是,如果全文不在本地系统帐户下运行,它可能会引发访问冲突并崩溃。而全文运行的帐户需要 SQL Server 的系统管理员访问权限。所以就是这样。
从 SQL Server 2005 及更高版本开始,这取决于您配置的服务在哪个帐户下运行。以下是在线图书页面,其中包含有关服务帐户的信息。一般而言,对于主要服务,本地或域帐户比任何内置帐户都更受青睐,从而减轻了这种担忧。
设置 Windows 服务帐户(SQL Server 2005 联机丛书)
您没有提到的另一件事是 BUILTIN\Administrators 是否已从 sysadmin 固定服务器角色中删除。如果没有,则系统仍具有 sysadmin 访问权限,因为它被视为该本地安全组的成员。
答案4
如果 NT AUTHORITY\SYSTEM 帐户在 SQL Server 中具有 SysAdmin 角色,则意味着在 LocalSystem 下运行的任何 Windows 服务或计划任务都具有对您的 SQL Server 的至高访问权限。真的你想要什么……?!