SysAdmin服务器角色和组

Question

我一直在努力寻找有关Active Directory组的最佳实践信息或建议，它们为组成员提供了SysAdmin服务器角色。我正在从事一项新工作，在那里，我是唯一一个处理50-100个SQL实例的Server。还有一个(网络)系统管理员将担任SysAdmin服务器角色。将来也可能会有其他的(可能或不可能是DBA的)。

我设想了两个选择：

选项1:在中创建一个组，根据需要将本人和其他人添加到组中，为AD组在每个Server实例上创建Server登录，并赋予登录SysAdmin服务器角色。

这是方便的，并允许一些灵活性。但这似乎是一个巨大的安全风险。作为一名DBA，我不能完全控制谁是AD组的成员(或外部)。目前，每个Server实例都有少量带有SysAdmin角色的登录。除了我，网络系统管理员和sa之外，我想把SysAdmin从所有的人身上拿走。如果我完成了这个任务并实现了选项1，我最终不会比我从哪里开始做得更好。

选项2:在每个Server上使用单独的(AD帐户)登录，并赋予每个SysAdmin服务器角色。

这不太方便，但只有两个人/AD登录具有SysAdmin权限。只要我们两个人都不把SysAdmin角色成员资格授予其他人，就应该有一定的秩序。

优先选择哪一种？还有其他我忽略的选择吗？

Answer 1

我不想回答我自己的问题，但我决定选择2种方式。我终于找到了一些“最佳实践”信息，尽管它与遵从性有关。这是一个伟大的阅读与一些伟大的建议。我不能实现所有这些，而且我可能永远不会通过PCI审计，但我肯定会提高安全性。关于它的价值，下面是与SYSADMIN角色相关的建议：

限制对持卡人数据的访问的一个关键步骤是限制分配给sysadmin服务器角色的特权用户的数量。默认情况下，BUILTIN/Administrators组不是Server 2008 R2中sysadmin角色的成员。PCI DSS直接支持“最小特权”访问模型的最佳实践概念；因此，我们建议如下：

• sysadmin角色的成员只应使用单独的Windows登录登录
• 分配给sysadmin角色的用户数量应该是最小的。
• 应该根据作业函数分配sysadmin角色。
• 应该让sysadmin角色的Windows登录的成员单独访问Server，而不是通过映射的AD组访问
• sysadmin角色的成员不应是本地Windows管理员
• sysadmin角色的成员不应该访问server服务可以访问的服务器上的任何文件夹或文件共享，例如包含数据和日志文件的文件夹，以及数据库或加密密钥可以备份到的目录。
• Windows本地或域管理员不应具有对Server的sysadmin访问权限

Answer 2

个人账户将变得更加难以管理。它们为您提供了对访问的更细粒度的控制，但您不能将Active管理员拒之门外。任何在服务器可以获得对实例的sysadmin访问权.上被授予本地管理员权限的人。而且，正如一位非常好的DBA曾经告诉我的那样，如果你不能信任你的域名管理员，你就会遇到更大的问题。

通过抽象您对AD组的访问，您可以获得两个好处：

1. 更容易管理基于角色的访问组和权限，并结合使用这些AD组的其他资产的分层访问控制。
2. 提供更一致的审计，因为您只需要显示AD组的访问权限，然后显示包含在该组中的访问权限。