我正在寻找一个Microsoft文档或文章或白皮书什么操作系统级别的SQL DBA(而不是SQL服务帐户)所需的权限。 有一个普遍的假设,SQL DBA需要本地pipe理员权限,但AFAIK只有在SQL安装时才需要。
任何指向这些文件的指针将不胜感激。
由于以下原因,给予DBA上帝对SQL服务器的权限是很常见的:
也就是说,这真的取决于组织,以及你拥有的那种DBA。 另外,您可以授予对SQL实例的DBApipe理访问权限,而不授予对操作系统的pipe理访问权限。 如果您不相信DBA维护操作系统,那么这是首选,您必须自己承担重新启动/维护责任。
你已经提出了一个加载的问题,因为MS在这个问题上并没有真正的立场。 您可能会在这个问题上发现一些technet的讨论,但我不能看到他们发表白皮书。 我能得到的最接近的是安全最佳做法doco: http : //download.microsoft.com/download/8/5/e/85eea4fa-b3bb-4426-97d0-7f7151b2011c/SQL2005SecBestPract.doc
AFAIK假设应该是相反的方式。 您应该必须certificate您需要pipe理员权限。 显然,在安装过程中你会需要它(虽然我会是根据他们的规格与我的帐户进行安装的)。 DBA需要pipe理员访问SQL服务器。 SQL服务器pipe理工作室应该从他们的工作站运行,使用他们的Windows凭据,并且应该给他们所有他们需要的访问权限。
编辑:我把这个采取在我的答案不是因为有一个绝对的答案,但因为操作系统状态“有一个普遍的假设,SQL DBA的需要本地pipe理员权限”
从pipe理angular度来看(无论是作为SQLpipe理员还是系统pipe理员),我不认为这是行业标准做法或最佳做法。 当然,所有的微软文档都会支持最小的特权
这里有一篇MSDN文章,里面有很多与SQL Server安全相关的文章的链接。
http://msdn.microsoft.com/en-us/library/bb283235(SQL.90).aspx
这里是一篇文章,谈论限制SQL分析服务的交互式loginhttp://msdn.microsoft.com/en-us/library/ms175588(SQL.90).aspx
根据DBA的工作职责以及“SQL Server”的含义,DBA可能需要pipe理员权限。 SQL Server可能意味着SQL数据库引擎或Analysis Services或Integration Services或Reporting Services。
然后是备份和恢复,以及这些文件的位置。 DBA是否需要创build新的数据库,并且可以为没有pipe理员权限的人创build数据文件和日志文件。 那么重新启动服务呢?
不,DBA不必是机器的pipe理员,但是DBA往往需要执行许多需要这些权限的任务。
我不认为MS会在这方面给出明确的立场。 我看到的方式是,如果有人在一个盒子上有本地pipe理员,那么他们对该盒子承担了一定的责任:在操作系统级别上的正常运行时间,可靠性,性能和安全性等。 如果这个人有能力承担这个责任,如果承担这个责任在他们工作的范围之内,那么这是可以的; 否则答案是“否”。
有一个通用的协议,SQL DBA需要本地pipe理员权限。
如果你把负责数据库幸福的人联系在一起,期待它死去,除了你自己之外别无他法。
当你是一个SQL DBA时,要做所有你需要做的事情,你需要pipe理员权限。 不要吝啬 – 或者开一个你可以信任的人。 那么别小气。
@Jim B在大多数我在networking工作的环境中,工程师们不让自己的工作站通过SSMS连接到SQL Server。 这在组织中已经说过,我作为DBA工作的权利几乎都是数据库服务器上的本地pipe理员,因此我有能力将RDP导入服务器,而无需在terminal服务应用程序模式下运行服务器。
能够重新启动服务也是有用的,即SQL Server相关的服务。