Chapter 1 Securing Your Server and Network(4):使用虛擬服務帳號，chaptersecuring

Chapter 1 Securing Your Server and Network(4):使用虛擬服務帳號，chaptersecuring
原文出處：http://blog.csdn.net/dba_huangzj/article/details/38037457，專題目錄：http://blog.csdn.net/dba_huangzj/article/details/37906349

未經作者同意，任何人不得以“原創”形式發布，也不得已用於商業用途，本人不負責任何法律責任。

        前一篇：http://blog.csdn.net/dba_huangzj/article/details/38017703

 

前言：

 

虛擬服務帳號（Virtual service account）和託管帳號一樣，都是Windows Server 2008 R2引入的新特性，它是一個不要求輸入密碼管理的本地帳號，並且可以和NetworkService帳號一樣通過電腦標識訪問網路。相對於NetworkService，由於它是內建帳號並在服務間共用，在管控方面不如虛擬服務帳號（詳見http://blog.csdn.net/dba_huangzj/article/details/37924127），所以虛擬帳號是更好的選擇。

虛擬帳號可以按照每個服務配置安全性，但是不能手動建立和刪除虛擬帳號，它是在安裝服務到Windows Server 2008 R2時就建立的帳號，並和服務名一致。比如NT SERVICE\MSSQL$SQL2012中，SQL2012就是執行個體名。虛擬帳號可以想普通帳號一樣在本地配置ACL，並且可以作為本機群組成員。

  

實現：

 為了讓SQL Server運行在虛擬帳號下，按照下面步驟實現：

 

1. 開啟SQL Server 組態管理員，並開啟SQL Server 服務的【屬性頁面】：

 

 

2.在【登入】標籤中的【本帳戶】中輸入NT Service\MSSQL$<具名執行個體名> 或NT Service\MSSQLSERVER（預設執行個體） ，並且密碼留空：

 

3. 點擊【應用】並重啟服務。

原理：

 

虛擬帳號可以被視為本地託管帳號，它們不需要管理（所以稱為託管），不能進行建立，也不需要提供密碼。但是需要注意，虛擬帳號不能用於SQL Server群集，因為它在每個節點上沒有相同的SID，如果需要用於群集，可以使用域託管帳號。

另外，虛擬帳號可以作為網路中的電腦帳號訪問網路資源，所以如果像讓網路訪問你的服務，優先考慮使用這類託管帳號。