我们当前的 SQL Server 服务在本地系统帐户下运行。要备份到网络/映射驱动器,我考虑在域管理员帐户下运行它。这样的帐户更改会破坏 SQL Server 的某些功能吗?
答案1
它不会破坏 SQL Server 的任何东西(怎么会呢?它只会更多的权限)。但从安全角度来看,这样做非常愚蠢。实际上,这样做更多的您的域管理员帐户很可能被盗用。它不仅会受到 Active Directory 漏洞的影响,现在还会受到 SQL Server 漏洞的影响。
正确的做法是在 AD 中创建一个独立的用户帐户来运行该服务。然后,只授予它正常运行所需的权限。
答案2
它不会破坏任何东西,但它也完全没有必要,而且实际上微软也不鼓励这样做。域管理员赋予您的 SQL 服务太多它不需要的权限。
通常的做法是: - 为每个要使用的 SQL 服务创建一个专用的域用户帐户。这应该是一个普通用户帐户,不要将其添加到域管理员或任何特殊组。 - 使用 SQL Server 配置管理器更改每个服务使用的服务帐户。
完成此操作后,您可以向特定 SQL 域用户帐户授予对您希望 SQL 写入文件的 UNC 共享的权限。我对 SQL 有点生疏,所以我不确定具体涉及哪种服务,我相信其他人会帮忙的…… :-)
我建议你阅读微软的SQL Server 2005 安全最佳实践文件也是如此。
答案3
在 SQL 2000 世界中,如果您希望 SQL 代理作业能够发送电子邮件,则必须使用域帐户,因为 MAPI(SQL 邮件)需要它。
使用 SQL 2005 及更高版本中的数据库邮件 (SMTP),不需要域帐户。