Akun layanan tunggal yang menjalankan semua Server SQL

8

Apakah ada dampak kinerja negatif untuk menggunakan akun layanan dan akun agen yang sama untuk menjalankan SQL Server dan SQL Agent masing-masing untuk semua contoh server SQL yang berjalan di perusahaan kecil misalnya 35 server? Basis data terbesar adalah 0,5 GB. ada saran dipersilahkan. Terima kasih.

PolDBQ
sumber

Jawaban:

15

Apakah ada dampak kinerja negatif untuk menggunakan akun layanan dan akun agen yang sama untuk menjalankan SQL Server dan SQL Agent masing-masing untuk semua contoh server SQL yang berjalan di perusahaan kecil misalnya 35 server?

Tidak. Akun layanan tidak memengaruhi kinerja dengan cara apa pun. Semuanya tentang keamanan!

Dari whitepaper praktik terbaik keamanan SQL Server 2012 (peringatan: kata doc) :

Saat memilih akun layanan, pertimbangkan prinsip hak istimewa yang paling rendah . Akun layanan harus benar-benar memiliki hak istimewa yang diperlukan untuk melakukan tugasnya dan tidak ada lagi hak istimewa.

Anda juga perlu mempertimbangkan isolasi akun ; akun layanan tidak hanya harus berbeda satu sama lain, mereka tidak boleh digunakan oleh layanan lain di server yang sama.

Jika Anda menjalankan Windows Server 2008 R2 & SQL Server 2012 dan yang lebih tinggi, maka yang terbaik adalah menggunakan

  • Akun virtual atau

    Akun virtual adalah akun lokal yang dikelola yang secara otomatis disediakan dan dikelola. Dalam SQL Server 2012, mereka adalah akun layanan default yang ditentukan selama penyetelan. Itu dapat mengakses jaringan. Akun layanan virtual memiliki nama terkenal dalam bentuk NT SERVICE \ dan dapat mengakses jaringan menggunakan kredensial \ $.

  • akun layanan terkelola

    Akun layanan terkelola adalah jenis akun domain khusus yang dapat ditetapkan ke satu komputer dan digunakan untuk mengelola layanan. Itu harus disediakan oleh administrator domain sebelum digunakan. Jenis akun ini tidak dapat digunakan untuk masuk ke komputer dan menyediakan SPN dan manajemen kata sandi otomatis, setelah disediakan.

Kin Shah
sumber
8

Masalah sebenarnya dengan menggunakan satu Akun Layanan untuk semua server Anda adalah: Seberapa amankah Anda? Jika seseorang dapat meretas satu akun itu , maka semua 35 server terekspos dalam satu gerakan.

Saya lebih suka setidaknya Akun Layanan per server. Dan memiliki beberapa Akun Layanan untuk penggunaan yang berbeda juga disarankan untuk keamanan.

Lihat: Mengkonfigurasi Akun dan Izin Layanan Windows

Ini menawarkan saran luas pada akun layanan. Tentu saja, terserah Anda untuk menentukan berapa banyak yang Anda butuhkan atau inginkan.

Tentu saja, Anda dapat memberikan izin lokal untuk akun layanan di server lain. Ini akan memungkinkannya untuk melakukan perubahan sesuai dengan izin yang Anda berikan.

RLF
sumber
4

Tidak ada dampak kinerja negatif untuk menggunakan akun yang sama di semua server Anda. Namun, jika terjadi perubahan pada akun itu, itu akan memengaruhi semua layanan Anda menggunakan akun itu. Anda mungkin ingin mempertimbangkan akun yang berbeda untuk lingkungan yang berbeda (mis. DEV, TEST, PROD).

datagod
sumber