我们在运行SQL Server 2005标准版/企业版或SQL Server 2008企业版的环境中有许多MS SQL服务器。 目前,SQL服务作为本地服务或networking服务运行,而MSbuild议的最佳做法是作为我们正在努力实现的域帐户运行。
对于域帐户,每个服务器的每个服务都有一个单独的域帐户是最佳做法吗? 所以如果我们有4个SQL服务需要运行每个服务器,我们有50个服务器,我们会在AD创build50 * 4 = 200个帐户? 这对我来说似乎太过分了,我想知道是否有人对这种设置和pipe理有任何实际的经验。
我通常创build一个单一的域服务帐户,并将其用于所有服务器上的所有服务。 我的build议是做两件事之一:
创build用于所有服务器上的所有服务的单个域服务帐户。
为每个服务器上的所有服务创build一个域服务帐户,因此每个服务器都有一个单独的服务帐户,而不是每个服务器的四个服务帐户。
如果您的AD架构在2008 R2,并且SQL服务器也是R2,则可能需要调查托pipe服务帐户 。 (如果你使用的是早期版本,看起来可以使用它,但是听起来好像比它更值得一试)
您可以设置计划和自动密码更改,转换现有的服务帐户进行pipe理,设置帐户到期,在域上或本地创build它们…看起来像帐户将根据域策略生成新的密码域成员:本地策略\安全选项下的最长机器帐户密码时限。
我们在域pipe理员帐户下运行我们所有的SQL服务,我们的networking安全策略是这样一种方式,我们需要经常更改域pipe理员密码,我的另一种select是创build一个具有pipe理员权限的域用户,这是可取的或应该我只使用pipe理员帐户或有更好的安全性的替代品。 请给出您的反馈。
问候Praveen