MSSQL: Escolha de contas de serviço

1

Ao instalar o MS SQL Server 2008, é necessário associar uma conta de serviço à instalação (possivelmente até várias contas, uma para o SQL Server Agent, uma para o Analysis Services, ..., mas vamos deixar isso para o caso de simplicidade). A conta de serviço pode ser uma conta local ou uma conta de domínio do Windows.

Se uma conta de domínio for usada: O MSSQL pode ser iniciado se a conectividade com os controladores de domínio estiver temporariamente inoperante ? Se a resposta for sim:

Deve cada instância do DBMS em cada servidor ter uma conta separada , ou faz sentido usar uma conta de domínio "MSSQL" específica em todas as instalações MSSQL na organização?

Se contas separadas forem usadas para cada instância em cada servidor: Faz sentido criar um grupo especial de segurança MSSQL no domínio e colocar todas as contas de serviço MSSQL nesse grupo, talvez para facilitar replicação, etc?

Existe uma convenção de nomenclatura comum e geralmente aceita para conta (s) de serviço MSSQL?

    
por Troels Arvin 11.02.2011 / 23:01

2 respostas

2

Se uma conta de domínio for usada: O MSSQL pode iniciar se a conectividade com os controladores de domínio estiver temporariamente inativa?

No, even if you get MSSQL to start it uses authentication more than just when starting. If you are worried about downtime for patching dcs, etc, I would recommend investing in more than a single DC or a more robust AD infrastructure.

Cada instância do DBMS em cada servidor deve ter uma conta separada, ou faz sentido usar uma conta de domínio "MSSQL" específica em todas as instalações MSSQL na organização?

Each server should have its own account. You can go with a single account without issues but keep in mind this limits you in terms of flexibility in distinction between the servers using this account

Se contas separadas forem usadas para cada instância em cada servidor: Faz sentido criar um grupo especial de segurança MSSQL no domínio e colocar todas as contas de serviço MSSQL nesse grupo, talvez para facilitar a replicação, etc?

Groups for the accounts is good, I believe when I set it up it wasn't necessary for a group, but wouldn't hurt.

Existe uma convenção de nomenclatura comum e geralmente aceita para contas de serviços MSSQL?

This should be in alignment with your organizations naming standards. This depends on the size of your org, and sometimes on if you are clustering. Keep in mind only use something like sqlserver or svcsql if you are 100% sure there will not need to be distinction between these. A better idea might be to use the host or cluster name. svcsqlnode1, svcsqlcluster1. These are general examples and always try and align with the standard naming conventions.

    
por 12.02.2011 / 09:47
2

O MSSQL pode iniciar se a conectividade com os controladores de domínio estiver temporariamente inativa?

Assumo que sim, assim como você pode fazer login no seu perfil em cache quando o DC não está disponível.

Cada instância do DBMS em cada servidor deve ter uma conta separada?

Isso depende, se todos os servidores tiverem a mesma exposição de segurança, eu usaria apenas uma conta para facilitar o gerenciamento. Se bancos de dados diferentes tiverem diferentes clientes / departamentos / administradores ou alguns tiverem dados confidenciais e outros não, eu consideraria usuários separados.

Faz sentido criar um grupo especial de segurança MSSQL?

Sim, se você usa várias contas.

Existe uma convenção de nomenclatura comum e geralmente aceita para contas de serviços MSSQL?

Mesmo se houver, sugiro criar sua própria convenção por motivos de segurança.

    
por 11.02.2011 / 23:47

Tags