Conta de serviço único executando todos os servidores SQL

8

Existe algum impacto negativo no desempenho do uso da mesma conta de serviço e conta de agente para executar o SQL Server e o SQL Agent, respectivamente, para todas as instâncias do servidor SQL em execução em uma pequena empresa, digamos 35 servidores? O maior banco de dados é de 0,5 GB. quaisquer sugestões são bem-vindas. Obrigado.

PolDBQ
fonte

Respostas:

15

Existe algum impacto negativo no desempenho do uso da mesma conta de serviço e conta de agente para executar o SQL Server e o SQL Agent, respectivamente, para todas as instâncias do servidor SQL em execução em uma pequena empresa, digamos 35 servidores?

Não. As contas de serviço não afetam o desempenho de forma alguma. É tudo sobre segurança!

No white paper de práticas recomendadas de segurança do SQL Server 2012 (aviso: word doc) :

Ao escolher contas de serviço, considere o princípio do menor privilégio . A conta de serviço deve ter exatamente os privilégios necessários para realizar seu trabalho e não mais privilégios.

Você também precisa considerar o isolamento da conta ; as contas de serviço não devem ser apenas diferentes umas das outras, não devem ser usadas por nenhum outro serviço no mesmo servidor.

Se você estiver executando o Windows Server 2008 R2 e o SQL Server 2012 e superior, é melhor usar

  • Contas virtuais ou

    Contas virtuais são contas locais gerenciadas que são provisionadas e gerenciadas automaticamente. No SQL Server 2012, eles são a conta de serviço padrão especificada durante a instalação. Pode acessar a rede. Uma conta de serviço virtual tem um nome conhecido na forma de NT SERVICE \ e pode acessar a rede usando as credenciais \ $.

  • contas de serviço gerenciado

    Uma conta de serviço gerenciado é um tipo especial de conta de domínio que pode ser atribuída a um único computador e usada para gerenciar um serviço. Ele deve ser provisionado pelo administrador do domínio antes de ser usado. Esse tipo de conta não pode ser usado para fazer login em um computador e fornece gerenciamento automático de SPN e senha, uma vez provisionado.

Kin Shah
fonte
8

O verdadeiro problema com o uso de uma conta de serviço para todos os seus servidores é: Quão seguro você deseja ser? Se alguém conseguir invadir essa conta , todos os 35 servidores serão expostos de uma só vez.

Eu prefiro pelo menos uma conta de serviço por servidor. Também é recomendável ter várias Contas de Serviço para diferentes usos.

Consulte: Configurar contas de serviço e permissões do Windows

Isso oferece sugestões abrangentes sobre contas de serviço. É claro que depende de você determinar quanto você precisa ou deseja fazer.

Obviamente, você pode conceder permissões locais para uma conta de serviço em outro servidor. Isso permitiria fazer alterações de acordo com as permissões que você concedeu.

RLF
fonte
4

Não há impacto negativo no desempenho do uso da mesma conta em todos os seus servidores. Se uma alteração ocorrer nessa conta, no entanto, ela afetará todos os seus serviços usando essa conta. Você pode considerar contas diferentes para ambientes diferentes (por exemplo, DEV, TEST, PROD).

datagod
fonte