คำถามของฉันคือถ้าคุณสร้างบัญชีผู้ใช้โดเมนใหม่สำหรับกระบวนการ SQL Server แต่ละกระบวนการควรตั้งค่าการอนุญาตใดสำหรับแต่ละบัญชี หรือผู้จัดการการกำหนดค่า SQL ดูแลเรื่องนี้จริง ๆ และฉันเพิ่งมีปัญหาที่ไม่คาดคิด?
ฉันค่อนข้างบ่อยต้องติดตั้ง Microsoft SQL Server และสงสัยว่าใครสามารถให้คำแนะนำในการกำหนดค่าบัญชีที่ควรใช้บริการ IMO สิ่งนี้ได้รับการรับรองโดย Microsoft อย่างชัดเจนในขณะที่พวกเขาชี้คุณไปในทิศทางที่ถูกต้องฉันไม่สามารถหาตัวอย่างที่เป็นรูปธรรมได้
เพื่อสรุปสิ่งที่ฉันเห็น:
สำหรับสภาพแวดล้อมการปรับใช้ \ development อย่างง่ายคุณสามารถใช้บัญชีเสมือนที่เป็นค่าเริ่มต้นที่โปรแกรมติดตั้งใช้: เช่น NT SERVICE\MSSQLSERVER
หลีกเลี่ยงการใช้SYSTEMบัญชีนี้ไม่ปลอดภัย
สำหรับการผลิตและในสภาพแวดล้อมของโดเมนขอแนะนำให้ใช้บัญชีบริการที่มีการจัดการหรือสร้างบัญชีผู้ใช้โดเมน (ไม่ใช่ผู้ดูแลระบบ) สำหรับแต่ละบริการ ถูกกล่าวหาว่าถ้าคุณใช้บัญชีโดเมนในเวลาติดตั้งโปรแกรมติดตั้งจะกำหนดสิทธิ์ที่จำเป็นสำหรับคุณ
หากเปลี่ยนบัญชีบริการในการติดตั้งที่มีอยู่จากบัญชีเสมือนเป็นบัญชีโดเมนคำแนะนำคือการใช้ตัวจัดการการกำหนดค่าเซิร์ฟเวอร์ SQL เพื่อตั้งค่าบัญชีบริการใหม่ ที่ถูกกล่าวหาว่าจะตั้งค่าสิทธิ์ที่จำเป็นสำหรับคุณ
ฉันเพิ่งลองเปลี่ยนบัญชีบริการในการติดตั้งที่มีอยู่เป็นบัญชีโดเมนและมันจะทำให้ฉันล้มเหลวในการเข้าสู่ระบบจนกว่าฉันจะได้รับอนุญาตบัญชีlog on as serviceซึ่งขัดแย้งกับส่วนที่ผู้จัดการการกำหนดค่า SQL Server จะกำหนดสิทธิ์ที่จำเป็น (แม้ว่าฉันไม่แน่ใจว่า GPO อาจรบกวนการตั้งค่านโยบายความปลอดภัยในพื้นที่นี้หรือไม่)
Microsoft จัดทำรายการสิทธิ์ที่การตั้งค่าเซิร์ฟเวอร์ SQL มอบให้ในหน้านี้
แต่มันก็ไม่ชัดเจนสำหรับฉันถ้านั่นเป็นสิ่งที่ฉันควรทำด้วยตนเองสำหรับผู้ใช้ที่ฉันสร้างเพื่อเรียกใช้บริการหรือว่าการใช้ตัวจัดการการกำหนดค่า SQL ควรตั้งค่าการอนุญาตเหล่านี้โดยอัตโนมัติหรือไม่
SQL Server 2014 ตัวควบคุมโดเมนอยู่บน Windows Server 2008 R2