SQL Server Express 2008のセットアップでは、サービスごとに異なるユーザーアカウントを割り当てることができます。
開発環境では、ドメインユーザー、ローカルユーザー、NT Authority \ NETWORK SERCVICE、NT Authority \ Local System、またはその他のアカウントを使用しますか。その理由は何ですか。
63134 次
4 に答える
36
ローカル システムは推奨されません。これは管理者と同等のアカウントであり、セキュリティ意識の高い管理者/DBA は管理者としてサービスを実行することを本当に好まないため、本番システムでは許可されない管理者権限を利用する問題のあるコーディングにつながる可能性があります。 .
サーバー インスタンスが他のドメイン リソースにアクセスする必要があるかどうかに応じて、実行する権限の低いアカウントの種類を決定する必要があります。
(匿名ではない) ドメイン リソースにアクセスする必要がない場合は、通常、一意のローカルの低特権アカウントを作成して実行し、同じ ID コンテキストで複数のサービスを実行しないというセキュリティ上の利点を追加します。 . Local Service アカウントは、SQL Server または SQL Server Agent サービスではサポートされていないことに注意してください。
非匿名ドメイン リソースにアクセスする必要がある場合は、次の 3 つのオプションがあります。
- ネットワーク サービスとして実行します。これも権限の低いアカウントですが、コンピューターのネットワーク資格情報を保持します。
- ローカル サービス アカウントで実行
- ローカル権限が低いカスタム ドメイン アカウントで実行します。開発者アカウントで実行する利点の 1 つは、セキュリティを損なうことなく、自分の ID のプロセスにデバッガーを簡単にアタッチできるため、デバッグが容易になることです (管理者以外のアカウントには、デフォルトで別の ID プロセスにデバッガーをアタッチする権限がないため) )。別のドメイン アカウントを使用することの欠点は、それらのアカウントを管理するオーバーヘッドです。特に、各開発者の各サービスは一意の資格情報を持つことが理想的であるため、開発者が離れた場合にリークが発生することはありません。
私がよく行うことのほとんどは、サービスがドメイン リソースにアクセスすることを必要としないため、私が管理する独自のローカルの低特権アカウントを使用する傾向があります。また、管理者以外のユーザーとしてのみ実行しています (XP SP2、Server 2003、Vista、および Server 2008 では大きな問題はありませんでした)。そのため、ドメイン リソースにアクセスするためにサービスが必要な場合でも、心配する必要はありません。独自のドメイン資格情報の使用について (さらに、ネットワーク管理者が多数の非運用ドメイン ID を作成/維持することを心配する必要がありません)。
于 2008-09-15T15:28:32.107 に答える
15
場合によります。
- ローカル システム - 絶対にありません。特権が高すぎます。
- Network Service - おそらく、ネットワーク リソースに接続する必要がある場合ですが、それは疑わしいものです。
- ローカル サービス - おそらく最良の選択、制限された権限、ネットワーク接続のロックを解除しない
- ローカルのインタラクティブ ユーザー? 本当にログイン権限が必要ですか、それともユーザーとして行動する必要がありますか?
- ドメインユーザー?いいえ、その中からネットワーク ドライブにアクセスしている場合を除きます。SQL が暴走すると、攻撃者はドメインに対して認証されます。
于 2008-09-15T15:12:54.483 に答える
4
MS にはこれに関する優れた記事があります: http://msdn.microsoft.com/en-us/library/ms143504(v=sql.105).aspx
彼らは、ローカル サービスは SQL Server エンジンに対して許可されていないと述べています。個人的には、開発中の問題を回避するためだけに Local System を使用していますが、本番環境では、ジョブを完了するために必要なアクセス許可だけを使用してドメイン レベルのサービス アカウントを作成することをお勧めします。
于 2013-10-01T16:34:25.997 に答える
-3
デフォルトとして使用したいものは何でも。それを変更することは、後でトラブルを招くだけです。
于 2008-09-15T15:19:50.363 に答える