我们的环境中有许多 MS SQL 服务器,它们运行 SQL Server 2005 标准版/企业版或 SQL Server 2008 企业版。目前,SQL 服务作为本地服务或网络服务运行,而 MS 推荐的最佳做法是作为域帐户运行,这正是我们正在努力实现的目标。
关于域帐户的最佳做法是每个服务器的每个服务都有一个单独的域帐户吗?因此,如果我们有 4 个 SQL 服务要在每个服务器上运行,并且我们有 50 台服务器,我们会在 AD 中创建 50 * 4 = 200 个帐户?这对我来说似乎太多了,我想知道是否有人对这种类型的设置及其管理有实际经验。
答案1
我通常会创建一个域服务帐户,并将其用于所有服务器上的所有服务。我的建议是做以下两件事之一:
创建一个用于所有服务器上的所有服务的单域服务帐户。
为每台服务器上的所有服务创建一个域服务帐户,这样每台服务器就有一个单独的服务帐户,而不是每台服务器有四个服务帐户。
答案2
如果您的 AD 架构是 2008 R2,并且 SQL 服务器也是 R2,您可能需要调查托管服务帐户.(看起来如果你使用的是早期版本可以使用这个,但听起来麻烦得过分)
您可以设置计划和自动密码更改,转换现有的服务帐户以进行管理,设置帐户过期时间,在域或本地创建它们...看起来这些帐户将根据域策略“域成员:本地策略\安全选项下的最长机器帐户密码使用期限”为其生成新密码。
答案3
我们在域管理员帐户下运行所有 SQL 服务,我们的网络安全策略要求我们经常更改域管理员密码,我有一个替代方案是创建具有管理员权限的域用户,这是否可行,还是我应该仅使用管理员帐户,或者是否有任何更安全的替代方案。请提供您的反馈。
问候 Praveen