Quali account utente si consiglia l'esecuzione di SQL Server 2008 Express servizi in un ambiente di sviluppo?

Question

SQL Server 2008 Express setup consente di assegnare account utente diverso per ogni servizio.

Per un ambiente di sviluppo, si dovrebbe utilizzare un utente di dominio, utente locale, NT Authority ETWORK SERCVICE, NT Authority\System Locale o qualche altro account e perché?

Answer 1

Sistema Locale non è raccomandato, è un amministratore di account equivalente e, quindi, può portare alla discutibile di codifica che sfrutta i privilegi di amministratore che non sarebbe consentito in un sistema di produzione, in quanto consapevole della sicurezza Admins/DBA, non mi piace per l'esecuzione di servizi come admin.

A seconda se l'istanza del server, sarà necessario accedere ad altre risorse di dominio o non dovrebbe determinare che tipo di basso account con privilegi di esecuzione sotto.

Se non è necessario per accedere a qualsiasi (non anonimo) risorse del dominio di quello che normalmente si crea un unico locale a basso account con privilegi di esecuzione sotto per ottenere una sicurezza ulteriore vantaggio di non avere più l'esecuzione dei servizi alla stessa identità contesto. Essere consapevoli del fatto che l'account Servizio Locale non è supportato per SQL Server o SQL Server Agent.

Se si ha bisogno di accedere non è anonimo risorse di dominio quindi le opzioni sono tre:

1. Esegui come Servizio Di Rete che è anche un basso livello di privilegio conto, ma che mantiene il computer credenziali di rete.
2. L'esecuzione in un Account Servizio Locale
3. L'esecuzione con un account di dominio personalizzato con bassa locale privilegi.Un vantaggio per l'esecuzione sotto gli sviluppatori conto è che è più facile da allegare debugger per processi nella propria identità, senza compromettere la sicurezza così il debug è più facile (dato che i non-Admin account non hanno il privilegio di collegare un debugger per un'altra identità del processo per impostazione predefinita).Uno svantaggio di utilizzare un altro account di dominio è l'overhead di gestione di tali conti, soprattutto dal momento che ogni servizio per ogni sviluppatore dovrebbe idealmente avere un unico credenziali di così non si dispone di eventuali perdite se uno sviluppatore di lasciare.

La maggior parte di quello che faccio di solito non richiedono il servizio per l'accesso alle risorse del dominio quindi tendo ad utilizzare l'unico locale a basso privilegi di account che gestisco.Ho anche eseguito esclusivamente come un utente non amministratore (e lo hanno fatto sotto XP SP2, Server 2003, Vista e Server 2008 senza grandi problemi), così quando ho casi in cui ho bisogno di un servizio di accesso alle risorse del dominio quindi non ho nessuna preoccupazione per usare le mie credenziali di dominio (più in quel modo non mi devo preoccupare gli amministratori di rete sulla creazione/mantenimento di un gruppo di non-dominio di produzione di identità).

Answer 2

Dipende.

• Sistema locale - Mai, è troppo alta un privilegio.
• Servizio Di Rete - Forse, se è necessario connettersi a risorse di rete, ma dubbia.
• Locali Di Servizio - Probabilmente la scelta migliore, privilegi limitati, non sbloccare le connessioni di rete
• Locale utente interattivo?Fa veramente necessario disporre di diritti di accesso, o agire come un utente?
• Utente di dominio?Bontà no, a meno che si sta accedendo le unità di rete dall'interno;se SQL impazza un utente malintenzionato è autenticato contro il dominio.

Answer 3

MS ha ora un buon articolo su questo:http://msdn.microsoft.com/en-us/library/ms143504(v=sql.105).aspx

Essi affermano che i Locali di Servizio non è consentito per il Motore di SQL Server.Personalmente, io uso il Sistema Locale, proprio per evitare problemi durante lo sviluppo, ma in produzione, la pratica migliore è quello di creare un dominio a livello di account di servizio con solo le autorizzazioni necessarie per ottenere il lavoro fatto.

Answer 4

Qualunque cosa si desidera utilizzare come predefinito.La modifica che è solo in cerca di guai in seguito.