msdbデータベース所有者のベストプラクティスは何ですか?
SQL Serverのセキュリティのベストプラクティスについて説明する過程で、データベースは通常、権限の低い専用ログイン(場合によっては、DBまたはアプリケーションごとに個別のログイン)が所有する必要があることを学びました これら = 記事 。
また、master、model、tempdbの所有者を変更することはできませんが、msdbの所有者を変更することは可能です。私の質問です:あなたは?
高い特権を持つデータベース所有者の主な懸念事項は、そのDBに対してTRUSTWORTHY設定を有効にできることと、msdbがTRUSTWORTHYを有効にできることです。 msdbの所有者を特権の低いアカウントに変更することは良い議論のようですが、インスタンスの機能に問題が発生するかどうかはわかりません。また、議論している記事やホワイトペーパーも見つけることができませんでした。トピック。私が見た中で最も近いのは this one で、これは推奨事項を作成するのに十分です。
Msdbの所有者を変更した場合の影響について、洞察を提供できる人はいますか?
ブレントオザーのsp_blitzこれを確認してください 合計するとうまくいくと思います:
...ベストプラクティスには簡単な答えはありません。
そして彼はアンドレアスの記事も参照しており、それが理想的な状態であることを認めています。しかし、多くの場合、理想的な状態は実際には実現可能または合理的ではありません。
多くのエンタープライズ規模のデプロイメントを検討するとき、または多数のインスタンスを管理するとき、ベストプラクティスアプローチ(この場合)を採用することが確かに合理的または実現可能であることは知りません。個人的にsaを使用するだけで十分なことがよくあります。
コミュニティのベストプラクティスチェックの多くは、デフォルトでデータベース所有者としてsaを探すことになっています。これは、一般的に使用されているものを使用すると、管理の観点から実際に役立つためです。たとえば、人気のあるPowerShellモジュール dbatools の機能 Test-DbaDbOwner デフォルトでは、すべてのデータベースの所有者としてsa(引用 Dan Guzman をベストプラクティスソースとして引用)を検索します(ただし、カスタムデータベースを指定することもできます)必要に応じて)ブレントのスクリプトと同じように。
この場合、それを行うかどうかは、状況に基づいた個人的な意見/選択にかかっていると思います。追加の負担を処理できる場合は、必ず理想的です。しかし、ほとんどの場合、私の経験では、余分な作業、複雑さ、および時間のかかる問題の可能性が、狭い利点よりも重要だと思います。
最後に、あなたが尋ねると:
Msdbの所有者を変更した場合の影響について、洞察を提供できる人はいますか?
どういう意味かはわかりませんが、Andreasがこのトピックをかなりカバーしており、所有者を変更することのメリットと効果を示していると思います。
参考文献: