安装文档指出最佳做法是创建一个具有最低权限的帐户以运行 SQL 引擎服务。
在 Windows 上创建此类帐户的推荐做法是什么?该帐户应属于哪些组(而不是哪些组)?应放弃哪些其他帐户权限?
答案1
创建一个没有特殊权限的新帐户。使用 SQL Server 安装程序将帐户分配给新实例,或使用 SQL Server 配置管理器更改服务使用的帐户。配置管理器将自行正确设置帐户的权限。
答案2
我不知道这是否是最佳实践,但我刚刚创建了一个名为的新组SQL Servers,确保我的 SQL 帐户仅有的属于该组(甚至不是Domain Users),然后从未授予该组除 SQL 帐户需要访问的网络共享(日志传送、备份等)之外的任何权利或权限。
到目前为止似乎相当成功,我没有遇到任何问题。
答案3
有一篇 Microsoft SQL 文章列出了所有必要的权限。