Se puede proteger a los servidores de sa vinculada
https://stackoverflow.com/questions/4564206
-
14-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Tenemos una configuración de software en un servidor proveedor de terceros. Tienen acceso completo a ese servidor y el servidor SQL-en él con la cuenta sa. Nos gustaría configurar un servidor vinculado de manera que un disparador puede actualizar los datos en una máquina remota. ¿Tiene acceso a la cuenta sa necesariamente significa que tengan acceso completo al servidor vinculado o hay una manera de protegerse de sa?
EDIT: Quisimos darles el control total del servidor, ya que queremos que tengan toda la responsabilidad. Se necesita la culpa fuera de nosotros cuando se deja de funcionar. "Hey, no lo toque, lo arreglas, tiene todos los permisos". De esta manera, se puede hacer todo lo que necesitan para conseguir su trabajo de software, pero está en un entorno de arena en caja. Sólo necesitamos un disparador para obtener los registros finales fuera de su base de datos y se insertan en la base de datos de producción. Eso requiere permisos que no queremos darles. La pregunta se refería a preguntar si había una manera de guardar la contraseña en ese ambiente arena en caja debajo de allí narices. por así decirlo.
Solución
Se puede configurar el servidor vinculado para utilizar un usuario con el nombre -. Su contratista tercero todavía será capaz de ver "el otro extremo" del enlace, pero sólo con los derechos otorgados al usuario llamado
Otros consejos
Nunca dar a nadie el acceso a la cuenta SA.
En su lugar, darles una cuenta de usuario llamada incluso si todavía tiene los privilegios de nivel de sistema.
En segundo lugar, el servidor vinculado se va a configurar con un nombre de usuario que se le permite hacerse pasar por un usuario llamado en el otro extremo. Si tienen una cuenta con privilegios completos en el primer servidor, entonces será capaz de llegar a la otra. Es tan simple como cambiar la contraseña de la cuenta de usuario que se ha concedido acceso al servidor remoto.
Lo que nos lleva a otro tema: Nunca dé una entidad externa pleno derecho a nada a menos que la propia caja. Si, por alguna extraña razón, no tiene otra opción, entonces debería buscar una forma alternativa de transferir los datos de este servidor para el servidor de producción.
Una forma podría ser la creación de paquetes SSIS que colocar los datos en un directorio del servidor remoto controlará para su recogida. Seguro que esto añade un poco más de complejidad, pero al final que significará su materia todavía es segura.
Por último, servidores vinculados son conocidos por ser escamosa en general. Es mucho mejor de encontrar una manera diferente para transferir los datos ... como el uso del método de SSIS.
