Executando o serviço do SQL Server na conta de administrador do domínio

1

Nosso serviço atual do SQL Server está sendo executado na conta do sistema local. Para fazer o backup em uma unidade de rede / mapeada, estou pensando em executá-lo em uma conta de administrador de domínio. Essa alteração na conta iria quebrar algo com o SQL Server?

    
por dstr 27.09.2010 / 16:29

3 respostas

-1

Não quebraria nada com o SQL Server (como poderia? só está recebendo mais permissões). Mas é uma coisa muito tola de se fazer do ponto de vista de segurança. Você estará efetivamente tornando mais provável que sua conta de administrador de domínio seja comprometida. Em vez de ser afetado apenas por explorações do Active Directory, agora também é afetado pelas explorações do SQL Server.

O correto é criar uma conta de usuário independente no AD para executar o serviço como. Em seguida, forneça apenas as permissões necessárias para que ele seja executado corretamente.

    
por 27.09.2010 / 16:49
6

Não vai quebrar nada, mas também é completamente desnecessário e realmente desencorajado pela Microsoft. O Administrador do Domínio concede ao seu serviço SQL muitos direitos que ele simplesmente não precisa.

A maneira como isso geralmente é feito é:  - crie uma conta de usuário de domínio dedicada para cada serviço SQL a ser usado. Esta deve ser uma conta de usuário normal, não a adicione aos administradores de domínio ou a nenhum grupo especial.  - use o SQL Server Configuration Manager para alterar as contas de serviço usadas por cada serviço.

Quando você fizer isso, poderá conceder direitos à conta de usuário do domínio SQL específica para o compartilhamento UNC, no qual deseja que o SQL grave arquivos. Estou um pouco enferrujado com SQL, então não tenho certeza exatamente qual serviço está envolvido, tenho certeza que alguém vai ajudar com isso ...: -)

Eu recomendo que você leia o SQL Server da Microsoft Práticas recomendadas de segurança de 2005 também.

    
por 27.09.2010 / 16:48
0

No mundo do SQL 2000, você precisava usar uma conta de domínio se quisesse que seus trabalhos do SQL Agent pudessem enviar e-mails, já que o MAPI (SQL Mail) precisava disso.

Com o Database Mail (SMTP) no SQL 2005 e posteriores, a conta de domínio não é necessária.

    
por 27.09.2010 / 23:38