Чи є якийсь негативний вплив на ефективність використання одного і того ж облікового запису служби та облікового запису агента для запуску SQL Server та SQL Agent відповідно для всіх екземплярів SQL сервера, що працюють на невеликій компанії з, наприклад, 35 серверів? Найбільша база даних - 0,5 ГБ. будь-які пропозиції вітаються. Дякую.
Відповіді:
Чи є якийсь негативний вплив на ефективність використання одного і того ж облікового запису служби та облікового запису агента для запуску SQL Server та SQL Agent відповідно для всіх екземплярів SQL сервера, що працюють на невеликій компанії з, наприклад, 35 серверів?
Ні. Облікові записи служби жодним чином не впливають на ефективність роботи. Все про безпеку!
З посібника з найкращих практик безпеки SQL Server 2012 (попередження: word doc) :
Вибираючи сервісні рахунки, враховуйте принцип найменшої пільги . Обліковий запис сервісу повинен мати саме ті привілеї, які йому потрібні для виконання своєї роботи, і не більше привілеїв.
Вам також потрібно розглянути питання про ізоляцію рахунку ; облікові записи служби не повинні відрізнятися один від одного, вони не повинні використовуватися жодною іншою службою на тому ж сервері.
Якщо ви використовуєте Windows Server 2008 R2 та SQL Server 2012 і новіших версій, тоді найкраще використовувати
Віртуальні акаунти або
Віртуальними обліковими записами управляються локальні облікові записи, які автоматично надаються та керуються. У SQL Server 2012 вони є обліковим записом служби за замовчуванням, зазначеним під час налаштування. Він може отримати доступ до мережі. Обліковий запис віртуальної служби має відоме ім’я у вигляді NT SERVICE \ і може отримати доступ до мережі за допомогою облікових даних \ $.
керовані сервісні рахунки
Обліковий запис керованої служби - це особливий тип облікового запису домену, який можна призначити одному комп'ютеру та використовувати для управління послугою. Перед використанням його повинен бути передбачений адміністратором домену. Цей тип облікового запису не може використовуватися для входу на комп'ютер і забезпечує автоматичне управління SPN та паролем після попереднього дозволу.
Справжня проблема використання одного облікового запису Сервісу для всіх ваших серверів полягає в тому: Наскільки безпечним ви хочете бути? Якщо хтось може зламати цей один обліковий запис , тоді всі 35 серверів виставляються одним махом.
Я дуже віддаю перевагу принаймні Сервісний рахунок на одному сервері. А також наявність декількох облікових записів послуг для різних цілей також рекомендується для безпеки.
Див.: Налаштування облікових записів та дозволів служби Windows
Це пропонує широкі пропозиції щодо облікових записів послуг. Ви, звичайно, вирішувати, скільки вам потрібно чи хочете зробити.
Звичайно, ви можете надати локальні дозволи для облікового запису послуги на іншому сервері. Це дозволить внести зміни відповідно до наданих вами дозволів.
Немає негативного впливу на ефективність використання одного і того ж облікового запису на всіх ваших серверах. Якщо в цьому обліковому записі відбудеться зміна, це вплине на всі ваші служби, що використовують цей обліковий запис. Ви можете розглянути різні облікові записи для різних середовищ (наприклад, DEV, TEST, PROD).