C'è qualche impatto negativo sulle prestazioni quando si utilizzano lo stesso account di servizio e lo stesso account agente per eseguire rispettivamente SQL Server e SQL Agent per tutte le istanze del server SQL in esecuzione in una piccola azienda di 35 server? Il database più grande è 0,5 GB. eventuali suggerimenti sono benvenuti. Grazie.
Risposte:
C'è qualche impatto negativo sulle prestazioni quando si utilizzano lo stesso account di servizio e lo stesso account agente per eseguire rispettivamente SQL Server e SQL Agent per tutte le istanze del server SQL in esecuzione in una piccola azienda di 35 server?
No. Gli account di servizio non influiscono in alcun modo sulle prestazioni. Si tratta di sicurezza!
Dal white paper sulle procedure consigliate per la sicurezza di SQL Server 2012 (avviso: word doc) :
Quando si scelgono gli account di servizio, considerare il principio del privilegio minimo . L'account del servizio dovrebbe avere esattamente i privilegi necessari per svolgere il proprio lavoro e non più privilegi.
È inoltre necessario considerare l' isolamento dell'account ; gli account del servizio non dovrebbero essere diversi l'uno dall'altro, ma non dovrebbero essere utilizzati da nessun altro servizio sullo stesso server.
Se si esegue Windows Server 2008 R2 e SQL Server 2012 e versioni successive, è consigliabile utilizzarlo
Account virtuali o
Gli account virtuali sono account locali gestiti che vengono automaticamente forniti e gestiti. In SQL Server 2012, sono l'account del servizio predefinito specificato durante l'installazione. Può accedere alla rete. Un account di servizio virtuale ha un nome noto sotto forma di NT SERVICE \ e può accedere alla rete usando le credenziali \ $.
account di servizi gestiti
Un account di servizio gestito è un tipo speciale di account di dominio che può essere assegnato a un singolo computer e utilizzato per gestire un servizio. Deve essere eseguito il provisioning dall'amministratore del dominio prima di essere utilizzato. Questo tipo di account non può essere utilizzato per accedere a un computer e fornisce una gestione automatica di SPN e password, una volta effettuato il provisioning.
Il vero problema con l'utilizzo di un account di servizio per tutti i tuoi server è: quanto vuoi essere sicuro? Se qualcuno è in grado di hackerare quell'account , tutti e 35 i server sono esposti in un colpo solo.
Preferisco di gran lunga almeno un account di servizio per server. Inoltre, per la sicurezza è consigliabile disporre di più account di servizio per usi diversi.
Vedere: Configurare account e autorizzazioni del servizio Windows
Questo offre numerosi suggerimenti sugli account di servizio. Spetta ovviamente a te determinare quanto hai bisogno o vuoi fare.
Naturalmente, è possibile concedere autorizzazioni locali per un account di servizio su un altro server. Ciò consentirebbe di apportare modifiche in base alle autorizzazioni concesse.
Non vi è alcun impatto negativo sulle prestazioni nell'uso dello stesso account su tutti i server. Se si verifica una modifica a tale account, tuttavia, avrà un impatto su tutti i servizi che utilizzano tale account. È possibile prendere in considerazione account diversi per ambienti diversi (ad es. DEV, TEST, PROD).