安装文档说最好的做法是创build一个SQL Engine服务运行的最小特权帐户。
在Windows上build议创build这样一个帐户的做法是什么…该帐户应该是什么团体成员(而不是成员)? 还有哪些其他帐户权限应该放弃?
创build一个没有特殊权限的新帐户。 使用SQL Server安装程序将帐户分配给新的实例,或者使用SQL Serverconfigurationpipe理器来更改该服务使用的帐户。 configurationpipe理器将自己正确设置帐户的权限。
我不知道这是否是最佳做法,但我刚刚创build了一个名为SQL Servers的新组,确保我的SQL帐户只属于该组(甚至不包括Domain Users ),然后从未给过该组权限或权限,除了SQL帐户需要访问的networking共享(日志传送,备份等)。
似乎到目前为止相当成功,我没有任何问题。
有一个Microsoft SQL文章列出了所有必要的权限。