MSSQL:服务账户的选择

MSSQL:服务账户的选择

安装 MS SQL Server 2008 时,需要将服务帐户与安装关联(可能甚至有多个帐户,一个用于 SQL Server Agent,一个用于 Analysis Services,...,但为了简单起见,我们先不讨论这个)。服务帐户可以是本地帐户,也可以是 Windows 域帐户。

如果使用域帐户:如果与域控制器的连接暂时中断,MSSQL 是否可以启动? 如果答案是肯定的:

每台服务器上的每个 DBMS 实例是否都应该有单独的帐户或者在组织中的所有 MSSQL 安装上使用特定的“MSSQL”域帐户是否有意义?

如果每台服务器上的每个实例都使用单独的帐户:创建一个特殊的 MSSQL 安全组是否有意义在域中并将所有 MSSQL 服务帐户放在该组中,也许是为了简化复制等?

是否存在一个通用的、普遍接受的命名约定用于 MSSQL 服务帐户?

答案1

如果使用域帐户:如果与域控制器的连接暂时中断,MSSQL 是否可以启动?

不,即使您启动 MSSQL,它也不仅仅在启动时使用身份验证。如果您担心修补 dcs 等会造成停机,我建议您投资多个 DC 或更强大的 AD 基础架构。

每台服务器上的每个 DBMS 实例是否都应该有一个单独的帐户,或者在组织中的所有 MSSQL 安装上使用特定的“MSSQL”域帐户是否有意义?

每个服务器都应该有自己的帐户。你可以使用单个帐户,不会出现任何问题,但请记住,这会限制你在使用该帐户的服务器之间的灵活性

如果每台服务器上的每个实例都使用单独的帐户:在域中创建一个特殊的 MSSQL 安全组并将所有 MSSQL 服务帐户放在该组中是否有意义,也许是为了简化复制等?

账户分组很好,我相信当我设置它时它不需要组,但这不会有什么坏处。

MSSQL 服务帐户是否有一个通用的、普遍接受的命名约定?

这应该与贵组织的命名标准保持一致。这取决于贵组织的规模,有时还取决于您是否在进行集群。请记住,只有当您 100% 确定不需要区分这些名称时,才使用 sqlserver 或 svcsql 之类的名称。更好的想法可能是使用主机或集群名称。svcsqlnode1、svcsqlcluster1。这些是一般示例,始终尝试与标准命名约定保持一致。

答案2

如果与域控制器的连接暂时中断,MSSQL 可以启动吗?

我认为是这样,就像您可以在 DC 不可用时登录到您的缓存配置文件一样。

每台服务器上的每个 DBMS 实例是否都应该有一个单独的帐户?

这取决于具体情况,如果所有服务器的安全风险都相同,那么我会使用一个帐户来轻松管理。如果不同的数据库有不同的客户/部门/管理员,或者有些数据库有敏感数据,而有些数据库没有,我会考虑使用不同的用户。

创建一个特殊的 MSSQL 安全组是否有意义?

是的,如果您使用多个帐户。

MSSQL 服务帐户是否有一个通用的、普遍接受的命名约定?

即使有,出于安全原因我还是建议创建您自己的约定。

相关内容