Có bất kỳ tác động hiệu quả tiêu cực nào đối với việc sử dụng cùng một tài khoản dịch vụ và tài khoản đại lý để chạy SQL Server và SQL Agent tương ứng cho tất cả các phiên bản máy chủ SQL đang chạy tại một công ty nhỏ có 35 máy chủ không? Cơ sở dữ liệu lớn nhất là 0,5 GB. bất kỳ đề nghị đều được chào đón. Cảm ơn bạn.
Câu trả lời:
Có bất kỳ tác động hiệu quả tiêu cực nào đối với việc sử dụng cùng một tài khoản dịch vụ và tài khoản đại lý để chạy SQL Server và SQL Agent tương ứng cho tất cả các phiên bản máy chủ SQL đang chạy tại một công ty nhỏ có 35 máy chủ không?
Không. Tài khoản dịch vụ không ảnh hưởng đến hiệu suất dưới bất kỳ hình thức nào. Đó là tất cả về an ninh!
Từ whitepaper thực hành bảo mật tốt nhất của SQL Server 2012 (cảnh báo: word doc) :
Khi chọn tài khoản dịch vụ, hãy xem xét nguyên tắc đặc quyền tối thiểu . Tài khoản dịch vụ nên có chính xác các đặc quyền mà nó cần để thực hiện công việc của mình và không có nhiều đặc quyền nữa.
Bạn cũng cần xem xét cách ly tài khoản ; các tài khoản dịch vụ không chỉ khác nhau mà không được sử dụng bởi bất kỳ dịch vụ nào khác trên cùng một máy chủ.
Nếu bạn đang chạy Windows Server 2008 R2 & SQL Server 2012 trở lên, tốt nhất là sử dụng
Tài khoản ảo hoặc
Tài khoản ảo được quản lý tài khoản cục bộ được cung cấp và quản lý tự động. Trong SQL Server 2012, chúng là tài khoản dịch vụ mặc định được chỉ định trong khi thiết lập. Nó có thể truy cập mạng. Tài khoản dịch vụ ảo có tên nổi tiếng ở dạng NT DỊCH VỤ \ và có thể truy cập mạng bằng thông tin đăng nhập \ $.
tài khoản dịch vụ được quản lý
Tài khoản dịch vụ được quản lý là một loại tài khoản miền đặc biệt có thể được gán cho một máy tính và được sử dụng để quản lý dịch vụ. Nó phải được cung cấp bởi quản trị viên tên miền trước khi được sử dụng. Loại tài khoản này không thể được sử dụng để đăng nhập vào máy tính và cung cấp quản lý mật khẩu và SPN tự động, sau khi được cung cấp.
Vấn đề thực sự khi sử dụng một Tài khoản dịch vụ cho tất cả các máy chủ của bạn là: Bạn muốn bảo mật đến mức nào? Nếu ai đó có thể hack một tài khoản đó, thì tất cả 35 máy chủ sẽ bị lộ trong một cú đánh.
Tôi rất thích ít nhất một Tài khoản dịch vụ trên mỗi máy chủ. Và có một số Tài khoản dịch vụ cho các mục đích sử dụng khác nhau cũng được khuyến nghị để bảo mật.
Xem: Cấu hình tài khoản và quyền của Windows Service
Điều này cung cấp đề xuất rộng rãi trên các tài khoản dịch vụ. Tất nhiên, tùy thuộc vào bạn để xác định số tiền bạn cần hoặc muốn làm.
Tất nhiên, bạn có thể cấp quyền cục bộ cho tài khoản dịch vụ trên máy chủ khác. Điều này sẽ cho phép nó thực hiện các thay đổi theo các quyền bạn đã cấp.
Không có tác động tiêu cực đến việc sử dụng cùng một tài khoản trên tất cả các máy chủ của bạn. Tuy nhiên, nếu thay đổi xảy ra với tài khoản đó, nó sẽ ảnh hưởng đến tất cả các dịch vụ của bạn sử dụng tài khoản đó. Bạn có thể muốn xem xét các tài khoản khác nhau cho các môi trường khác nhau (ví dụ DEV, TEST, SẢN PHẨM).