这个问题可能位于ServerFault和DBA Admins之间的某个地方,但是这个的Domain元素让我把它放在这里。
我们一直在开发一个SOA产品,并考虑客户办公室的托pipe服务器的不同部署场景。 这个问题的触发器是关于使用需要集成安全性的SQL Server FILESTREAM的讨论
SQLlogin不能用于FILESTREAM容器。 只有NTFS身份validation才能与FILESTREAM容器一起使用。 FILESTREAM MSDN
目前,FILESTREAM是我们使用集成安全的唯一原因,这使得部署域控制器(及其冗余要求)的潜在要求对pipe理器服务器没有吸引力。
我已经看了一下,有几个问题提示您可以使用集成安全性的工作组。
集成安全(SSID?)在一个无域…
我的问题是,上述情况是否有推荐的做法? 我们应该给WORKGROUP安全一个去看看我们如何继续或是否有一个很大的原因,我们应该使用一个域或不使用FILESTREAM?
一般来说,集成安全性(又名可信连接)比SQLlogin更安全,是首选。 原因是需要连接到SQL Server的服务不需要在任何地方使用用户名和密码进行硬编码; 他们可以与有权访问SQL Server的用户一起运行。
要使用集成安全性,不需要域。 如果您pipe理的是多台计算机,则优先使用域,但只有less量的服务器可以在每台服务器上使用本地用户。 诀窍是共享用户都需要在每个访问SQL数据的服务器上拥有相同的用户名和密码。 例如,假设您在一台机器上安装了IIS Web服务器,在另一台机器上安装了SQL Server。 您可以在Web和SQL Server计算机上创build具有相同用户名和密码的用户,也许称为“IISUser”。 然后在SQL Server中,您将为该用户分配适当的权限,并在Web服务器上设置IIS的应用程序池以与该用户一起运行。 因为这是使用集成安全性,所以不需要在任何configuration文件中写入或存储用户名/密码,并且连接是安全的。
不幸的是,我不能回答你关于FILESTREAM的“是否有推荐的做法”的问题,但是我会提供你不应该避免做你想做的事情,因为你也想避免集成安全。 国际海事组织你应该使用集成安全无论。 我build议你给当地的用户一个尝试你的情况。 最终,域名会比本地用户更好(这将更安全,更容易pipe理),但是我认为集成安全与本地用户的关系仍然优于SQL Serverlogin。