私たちの環境には、SQL Server2005標準/エンタープライズまたはSQLServer2008エンタープライズのいずれかを実行しているMSSQLサーバーが多数あります。現在、SQLサービスはローカルサービスまたはネットワークサービスとして実行されており、MSが推奨するベストプラクティスは、ドメインアカウントとして実行することです。これは、私たちが目指しているものです。
ドメインアカウントに関するベストプラクティスは、サーバーごとのサービスごとに個別のドメインアカウントを持つことですか?したがって、サーバーごとに実行するSQLサービスが4つあり、サーバーが50ある場合、ADに50 * 4 = 200のアカウントを作成しますか?これは私には過度に思えます。このタイプのセットアップとその管理について実際に経験した人はいないかと思いました。
私は通常、単一のドメインサービスアカウントを作成し、それをすべてのサーバー上のすべてのサービスに使用します。私の提案は、次の2つのいずれかを実行することです。
すべてのサーバー上のすべてのサービスに使用される単一のドメインサービスアカウントを作成します。
各サーバー上のすべてのサービスに対してドメインサービスアカウントを作成します。これにより、サーバーごとに4つのサービスアカウントではなく、サーバーごとに個別のサービスアカウントが作成されます。
ADスキーマが2008R2にあり、SQLサーバーもR2である場合は、 マネージドサービスアカウント を調査することをお勧めします。 (以前のバージョンを使用している場合はこれを使用できるように見えますが、価値があるよりも苦痛のように聞こえます)
スケジュールされた自動パスワード変更の設定、管理対象の既存のサービスアカウントの変換、アカウントの有効期限の設定、ドメイン上またはローカルでの作成が可能です...アカウントには、ドメインポリシーに従って新しいパスワードが生成されるようです。ドメインメンバー:ローカルポリシー\セキュリティオプションの下のマシンアカウントのパスワードの最大有効期間。