建议为MS SQL Server 2005/2008设置服务帐户

Question

我们的环境中有许多MS服务器在运行Server 2005标准/企业或server 2008企业。目前，SQL服务以本地服务或网络服务的形式运行，MS推荐的最佳做法是作为域帐户运行，这正是我们正在努力实现的目标。

关于域帐户的最佳实践是每个服务器的每个服务都有一个单独的域帐户吗？因此，如果我们有4个SQL服务，我们希望每个服务器运行，我们有50个服务器，那么我们会在AD中创建50个*4=200个帐户吗？对我来说，这似乎太过了，我想知道是否有人对这种设置及其管理有任何真正的经验。

Answer 1

我通常创建一个域服务帐户，并将其用于所有服务器上的所有服务。我的建议是做两件事之一：

1. 创建单个域服务帐户，用于所有服务器上的所有服务。
2. 为每个服务器上的所有服务创建一个域服务帐户，以便为每个服务器创建一个单独的服务帐户，而不是为每个服务器创建四个服务帐户。

Answer 2

如果您的AD模式位于2008年R2，并且SQL服务器也是R2，则可能需要研究托管服务帐户托管服务帐户。(看起来，如果你使用的是早期版本，这似乎是可以使用的，但听起来更痛苦，而不是它的价值)

您可以设置计划的和自动的密码更改，转换要管理的现有服务帐户，设置帐户过期，在域或本地创建它们.看起来，这些帐户将根据域策略域成员:本地策略\安全选项下的最大机器帐户密码年龄为它们生成新的密码。

Answer 3

我们在域管理员帐户下运行我们的所有SQL服务，我们的网络安全策略是这样一种方式，我们需要经常更改域管理密码，我有一个选择是创建一个具有管理权限的域用户，这是明智的，还是我应该只使用管理帐户，或者有更好的安全性的替代方案。请给出你的反馈。

问候Praveen