Welches Benutzerkonto würden Sie empfehlen, die SQL Server Express 2008 Dienste in einer Entwicklungsumgebung ausgeführt wird?

StackOverflow https://stackoverflow.com/questions/63749

Frage

Die SQL Server Express 2008 Setup können Sie verschiedene Benutzerkonto für jeden Dienst zuweisen.

Für eine Entwicklungsumgebung, würden Sie verwenden, um einen Domäne-Benutzer, lokale Benutzer, NT Authority \ NETWORK sercvice, NT Authority \ Local System oder ein anderes Konto und warum?

War es hilfreich?

Lösung

Lokal System nicht empfohlen wird, ist es ein Administrator entsprechendes Konto und damit zu fragwürdiger Codierung führen kann, dass die Vorteile von Administratorrechten erfolgt, die da nicht sicherheitsbewussten Admins / DBA in einem Produktionssystem erlaubt werden würden wirklich nicht, wie Dienste als Administrator ausgeführt werden.

Je nachdem, ob die Serverinstanz benötigte andere Domain-Ressourcen zugreifen sollte oder nicht, welche Art von niedrigem Privileg bestimmt Konto soll es unter laufen.

Wenn es muss nicht für den Zugriff auf alle (nicht-anonyme) Domain Ressourcen als ich es normalerweise ein eindeutiges lokales, niedriges Privileg Konto erstellen für sie, um unter ausführen, um den zusätzlichen Sicherheitsvorteil von nicht mit mehreren Diensten im Rennen zu gewinnen gleicher Identitätskontext. Beachten Sie, dass das lokale Dienstkonto nicht unterstützt wird die SQL Server oder SQL Server-Agent-Dienste.

Wenn es braucht nicht-anonyme Domain-Ressourcen zugreifen, dann haben Sie drei Möglichkeiten:

  1. Ausführen als Network Service , die auch ein niedriges Privileg Konto ist aber ein, dass die Computer-Netzwerk-Anmeldeinformationen beibehält.
  2. Ausführen unter einem lokalen Dienstkonto
  3. Ausführen unter einem benutzerdefinierten Domain-Konto mit niedrigen lokalen Privilegien. Ein Vorteil unter den Entwicklern laufende Konto ist, dass es einfacher ist, Debugger Prozesse in der eigenen Identität zu befestigen, ohne die Sicherheit zu gefährden so das Debuggen ist einfacher (da Nicht-Admin-Konten haben nicht das Privileg, einen Debugger an einem anderen Identität Prozess standardmäßig zu befestigen ). Ein Nachteil auf einem anderen Domänenkonto ist der Aufwand, diese Konten zu verwalten, zumal jeder Dienst für jeden Entwickler ideal einzigartige Anmeldeinformationen haben sollte, so dass Sie keine Lecks, wenn ein Entwickler verlassen sind.

Das meiste, was ich neige dazu, zu tun erfordert nicht die Service-Domain-Ressourcen zugreifen, so neige ich dazu, einzigartiges lokales niedriges Privileg verwenden Konten, die ich verwalten. Ich auch ausschließlich als Benutzer ohne Administratorrechte ausgeführt werden (und haben so unter XP SP2, Server 2003, Vista und Server 2008 ohne größere Probleme durchgeführt) so, wenn ich Fälle, wo ich den Dienst zugreifen müssen Domain-Ressourcen, dann habe ich keine Sorgen meine eigenen Domain-Anmeldeinformationen über die Verwendung von (plus so muß ich die Netzwerk-Administratoren über die Schaffung / Aufrechterhaltung eine Reihe von nicht-Produktionsdomäne Identitäten keine Sorge).

Andere Tipps

Es hängt davon ab.

  • Lokales System - Noch nie, es ist zu hoch ein Privileg.
  • Network Service - Vielleicht müssen, wenn Sie eine Verbindung herstellen Netzwerk-Ressourcen, aber das ist zweifelhaft.
  • Service vor Ort - Wahrscheinlich die beste Wahl, eingeschränkt Rechten, schalte keine Netzwerkverbindungen
  • Lokale interaktive Benutzer? Macht es wirklich brauchen Login Rechte haben, oder fungieren als Benutzer?
  • Domain Benutzer? Güte nein, nicht, es sei denn Sie zugreifen Netzlaufwerke von darin; wenn SQL läuft Amok dann ein Angreifer ist authentifiziert gegen die Domäne.

MS hat jetzt einen guten Artikel zu diesem Thema: http://msdn.microsoft.com/en- us / library / ms143504 (v = SQL.105) aspx

Sie stellen fest, dass lokale Dienst nicht für SQL Server Engine erlaubt ist. Persönlich benutze ich Lokal System nur Probleme während der Entwicklung zu vermeiden, aber in der Produktion, ist die beste Praxis für ein Domain-Level-Service-Konto zu erstellen, die Berechtigungen, muss es die Aufgabe zu erledigen.

Was auch immer es will, als Standard verwenden. Ändern das ist nur Ärger später.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top