web-dev-qa-db-ja.com

SQL Serverサービスアカウント

新しいWindows 2016サーバーがあり、SQL Server 2016スタンダードエディションをインストールする必要があります。 SQLサーバーをインストールして構成したら、既存の運用データベースを新しいデータベースサーバーに移動します。

SQLサーバーをインストールするためにサーバーにリモートデスクトップアクセスできますが、ドメインサービスアカウントが必要かどうかわかりません。インストール中にSQLサーバーが割り当てるデフォルトのサービスで十分だという印象を受けました。

質問1:

DB管理者チームは、そのサーバーにリモートデスクトップし、ローカルのSSMSからではなく、SSMSを使用してSQLサーバーに接続します。その場合、ドメインサービスアカウントが必要ですか?

質問2:

ネットワークを介して接続する数百人のユーザーがDBをサポートするアプリケーションは?その場合、デフォルトのサービスアカウントで十分ですか、それともドメインサービスアカウントが必要ですか?

私はデータベース管理の世界に慣れていないため、まだいくつかの概念に苦労しています。

4
sparktech

最初に質問に対処するには:

DB管理者チームは、そのサーバーにリモートデスクトップし、ローカルのSSMSからではなく、SSMSを使用してSQLサーバーに接続します。その場合、ドメインサービスアカウントが必要ですか?

SSMSを運用サーバーで直接実行して運用データベースを管理することはお勧めしませんが、これら2つの項目はまったく関係ありません。

ネットワークを介して接続する数百人のユーザーがDBをサポートするアプリケーションは?その場合、デフォルトのサービスアカウントで十分ですか、それともドメインサービスアカウントが必要ですか?

繰り返しますが、これら2つの項目は完全に無関係です。


SQL Serverサービスのサービスアカウントを選択する際のガイドライン を確認してください。その重要な部分は、次のとおりです。

新規インストール中、SQL Serverセットアップは、SQL ServerエンジンサービスとSQL Serverエージェントサービスをデフォルトでアカウントに設定しません。アカウントの指定は、これらのサービスに必要な手順です。推奨される安全なアカウントの詳細については、Books Onlineのトピック Windowsサービスアカウントの設定 を参照してください。

そして

サービスアカウントを選択するときは、最小限の特権の原則を考慮してください。サービスアカウントには、ジョブを実行するために必要な権限のみが必要で、それ以上の権限は必要ありません。また、アカウントの分離についても考慮する必要があります。サービスアカウントは互いに異なるだけでなく、同じサーバー上の他のサービスでも使用できません。 SQL Serverサービスアカウントまたはサービスグル​​ープに追加の権限を付与しないでください。アクセス許可は、グループメンバーシップを通じて付与されるか、サービスSIDに直接付与されます(サービスSIDがサポートされている場合)。詳細については、Books Onlineのトピック Windowsサービスアカウントの設定 を参照してください。

したがって、それに基づいて、エンジンとエージェントの特定のアカウントにする必要があります。原則に準拠するすべてのサービスに個別のログインを使用することをお勧めします引用からのリンクされた記事による最小特権の。

5
LowlyDBA

SQL Serverは、デフォルトで Virtual Acconts を使用します。これはセキュリティのベストプラクティスです。 特定の理由を使用しない限り、ドメインアカウントを使用しないでください。

私が考えることができる2つの理由は次のとおりです。

1)フェイルオーバークラスターインスタンス、またはKerberos認証をサポートする必要がある可用性グループリスナーがあります。

または

2)SQL Serverサービスはドメインリソースにアクセスする必要がありますおよびその他 Network Serviceの下でそのサーバー上で実行されているプログラム、またはドメインリソースにアクセスする必要がある仮想アカウント。これは、仮想アカウントがコンピュータアカウントを使用してネットワークリソースにアクセスするためです。コンピューターアカウントを使用してネットワークリソースにアクセスするサーバーにさまざまなプログラムが多数インストールされている場合、そのアカウントに特権が蓄積される可能性があります。

したがって、FCIやAGではなく専用SQL Serverの(パラダイム)ケースでは、デフォルトのサービスアカウントを変更しないでください。