Konto jednej usługi obsługujące wszystkie serwery SQL

8

Czy ma to jakiś negatywny wpływ na wydajność przy korzystaniu z tego samego konta usługi i konta agenta do uruchamiania odpowiednio SQL Server i SQL Agent dla wszystkich instancji serwera SQL działających w małej firmie, powiedzmy 35 serwerów? Największa baza danych to 0,5 GB. wszelkie sugestie są mile widziane. Dziękuję Ci.

PolDBQ
źródło

Odpowiedzi:

15

Czy ma to jakiś negatywny wpływ na wydajność przy korzystaniu z tego samego konta usługi i konta agenta do uruchamiania odpowiednio SQL Server i SQL Agent dla wszystkich instancji serwera SQL działających w małej firmie, powiedzmy 35 serwerów?

Nie. Konta serwisowe nie wpływają w żaden sposób na wydajność. Chodzi o bezpieczeństwo!

Z białej księgi najlepszych praktyk bezpieczeństwa SQL Server 2012 (ostrzeżenie: słowo doc) :

Wybierając konta usług, należy wziąć pod uwagę zasadę najmniejszych uprawnień . Konto serwisowe powinno mieć dokładnie takie same uprawnienia, jakich potrzebuje do wykonywania swojej pracy, i nie ma już żadnych uprawnień.

Musisz także rozważyć izolację konta ; konta usług powinny nie tylko różnić się od siebie, nie powinny być używane przez żadną inną usługę na tym samym serwerze.

Jeśli korzystasz z systemu Windows Server 2008 R2 i SQL Server 2012 i nowszych, najlepiej użyć

  • Konta wirtualne lub

    Kontami wirtualnymi są zarządzane konta lokalne, które są automatycznie inicjowane i zarządzane. W SQL Server 2012 są domyślnym kontem usługi określonym podczas instalacji. Może uzyskać dostęp do sieci. Konto usługi wirtualnej ma dobrze znaną nazwę w postaci NT SERVICE \ i może uzyskiwać dostęp do sieci przy użyciu poświadczeń \ $.

  • zarządzane konta usług

    Konto usługi zarządzanej to specjalny typ konta domeny, które można przypisać do jednego komputera i wykorzystać do zarządzania usługą. Musi zostać udostępniony przez administratora domeny przed użyciem. Tego typu konta nie można użyć do zalogowania się na komputerze i zapewnia on automatyczne zarządzanie SPN i hasłem, po ich utworzeniu.

Kin Shah
źródło
8

Prawdziwy problem z używaniem jednego konta usługi na wszystkich serwerach polega na tym: na ile chcesz być bezpieczny? Jeśli ktoś jest w stanie zhakować to konto , wszystkie 35 serwerów jest narażonych za jednym zamachem.

Wolę przynajmniej konto usługi na serwer. Ze względu na bezpieczeństwo zalecane jest także posiadanie kilku kont serwisowych do różnych zastosowań.

Zobacz: Konfigurowanie kont i uprawnień usługi Windows

To oferuje obszerne sugestie dotyczące kont serwisowych. To od Ciebie oczywiście zależy, ile potrzebujesz lub chcesz zrobić.

Oczywiście możesz przyznać lokalne uprawnienia do konta usługi na innym serwerze. Umożliwi to wprowadzanie zmian zgodnie z udzielonymi uprawnieniami.

RLF
źródło
4

Korzystanie z tego samego konta na wszystkich serwerach nie ma negatywnego wpływu na wydajność. Jeśli jednak nastąpi zmiana na tym koncie, wpłynie to na wszystkie usługi korzystające z tego konta. Możesz rozważyć różne konta dla różnych środowisk (np. DEV, TEST, PROD).

datagod
źródło