มีผลกระทบด้านลบต่อประสิทธิภาพการใช้บัญชีบริการและบัญชีตัวแทนเดียวกันเพื่อเรียกใช้ SQL Server และตัวแทน SQL ตามลำดับสำหรับอินสแตนซ์เซิร์ฟเวอร์ SQL ทั้งหมดที่ทำงานใน บริษัท ขนาดเล็กที่มีเซิร์ฟเวอร์ 35 ตัวหรือไม่ ฐานข้อมูลที่ใหญ่ที่สุดคือ 0.5 GB ข้อเสนอแนะใด ๆ ยินดีต้อนรับ ขอบคุณ.
คำตอบ:
มีผลกระทบด้านลบต่อการใช้บัญชีบริการและบัญชีตัวแทนเดียวกันเพื่อเรียกใช้ SQL Server และตัวแทน SQL ตามลำดับสำหรับอินสแตนซ์เซิร์ฟเวอร์ SQL ทั้งหมดที่ทำงานใน บริษัท ขนาดเล็กที่มีเซิร์ฟเวอร์ 35 ตัวหรือไม่
ไม่บัญชีบริการไม่ส่งผลกระทบต่อประสิทธิภาพ แต่อย่างใด มันคือทั้งหมดที่เกี่ยวกับความปลอดภัย!
จากwhitepaper แนวปฏิบัติที่ดีที่สุดเกี่ยวกับความปลอดภัยของ SQL Server 2012 (คำเตือน: word doc) :
เมื่อเลือกบัญชีบริการพิจารณาหลักการของสิทธิน้อย บัญชีบริการควรมีสิทธิ์อย่างแท้จริงที่จำเป็นในการทำงานและไม่มีสิทธิ์เพิ่มเติม
นอกจากนี้คุณยังจะต้องพิจารณาแยกบัญชี ; บัญชีบริการไม่ควรแตกต่างจากกัน แต่ไม่ควรใช้บริการอื่น ๆ บนเซิร์ฟเวอร์เดียวกัน
หากคุณใช้ Windows Server 2008 R2 และ SQL Server 2012 ขึ้นไปควรใช้ให้ดีที่สุด
บัญชีเสมือนหรือ
บัญชีเสมือนได้รับการจัดการบัญชีท้องถิ่นที่มีการจัดเตรียมและจัดการโดยอัตโนมัติ ใน SQL Server 2012 เป็นบัญชีบริการเริ่มต้นที่ระบุระหว่างการติดตั้ง มันสามารถเข้าถึงเครือข่าย บัญชีบริการเสมือนมีชื่อที่รู้จักกันดีในรูปแบบของ NT SERVICE \ และสามารถเข้าถึงเครือข่ายโดยใช้หนังสือรับรอง \ $
บัญชีบริการที่มีการจัดการ
บัญชีบริการที่มีการจัดการเป็นบัญชีโดเมนชนิดพิเศษที่สามารถกำหนดให้กับคอมพิวเตอร์เครื่องเดียวและใช้เพื่อจัดการบริการ จะต้องได้รับการจัดเตรียมโดยผู้ดูแลระบบโดเมนก่อนที่จะถูกนำมาใช้ บัญชีประเภทนี้ไม่สามารถใช้ในการเข้าสู่ระบบคอมพิวเตอร์และให้การจัดการ SPN และรหัสผ่านอัตโนมัติเมื่อได้รับการจัดเตรียมแล้ว
ปัญหาที่แท้จริงของการใช้บัญชีบริการหนึ่งบัญชีสำหรับเซิร์ฟเวอร์ทั้งหมดของคุณคือ: คุณต้องการความปลอดภัยมากแค่ไหน? หากใครบางคนสามารถแฮ็คบัญชีนั้นบัญชีทั้ง 35 เซิร์ฟเวอร์จะถูกเปิดเผยในคราวเดียว
ฉันชอบบัญชีบริการอย่างน้อยต่อเซิร์ฟเวอร์ และมีบัญชีบริการหลายบัญชีสำหรับการใช้งานที่แตกต่างกันนอกจากนี้ยังแนะนำเพื่อความปลอดภัย
โปรดดู: กำหนดค่าบัญชีบริการและสิทธิ์ของ Windows
ข้อเสนอนี้มีคำแนะนำมากมายเกี่ยวกับบัญชีบริการ แน่นอนว่าขึ้นอยู่กับคุณว่าคุณต้องการหรือต้องการทำอะไร
แน่นอนคุณสามารถให้สิทธิ์ในพื้นที่สำหรับบัญชีบริการบนเซิร์ฟเวอร์อื่น สิ่งนี้จะทำให้สามารถทำการเปลี่ยนแปลงได้ตามการอนุญาตที่คุณให้ไว้
ไม่มีผลกระทบด้านลบต่อการใช้บัญชีเดียวกันกับเซิร์ฟเวอร์ทั้งหมดของคุณ อย่างไรก็ตามหากมีการเปลี่ยนแปลงเกิดขึ้นกับบัญชีนั้นจะมีผลกับบริการทั้งหมดของคุณโดยใช้บัญชีนั้น คุณอาจต้องการพิจารณาบัญชีที่แตกต่างกันสำหรับสภาพแวดล้อมที่แตกต่างกัน (เช่น DEV, TEST, PROD)