Chapter 1 Securing Your Server and Network(4):使用虛擬服務帳號,chaptersecuring
原文出處:http://blog.csdn.net/dba_huangzj/article/details/38037457,專題目錄:http://blog.csdn.net/dba_huangzj/article/details/37906349
未經作者同意,任何人不得以“原創”形式發布,也不得已用於商業用途,本人不負責任何法律責任。
前一篇:http://blog.csdn.net/dba_huangzj/article/details/38017703
前言:
虛擬服務帳號(Virtual service account)和託管帳號一樣,都是Windows Server 2008 R2引入的新特性,它是一個不要求輸入密碼管理的本地帳號,並且可以和NetworkService帳號一樣通過電腦標識訪問網路。相對於NetworkService,由於它是內建帳號並在服務間共用,在管控方面不如虛擬服務帳號(詳見http://blog.csdn.net/dba_huangzj/article/details/37924127),所以虛擬帳號是更好的選擇。
虛擬帳號可以按照每個服務配置安全性,但是不能手動建立和刪除虛擬帳號,它是在安裝服務到Windows Server 2008 R2時就建立的帳號,並和服務名一致。比如NT SERVICE\MSSQL$SQL2012中,SQL2012就是執行個體名。虛擬帳號可以想普通帳號一樣在本地配置ACL,並且可以作為本機群組成員。
實現:
為了讓SQL Server運行在虛擬帳號下,按照下面步驟實現:
1. 開啟SQL Server 組態管理員,並開啟SQL Server 服務的【屬性頁面】:
2.在【登入】標籤中的【本帳戶】中輸入NT Service\MSSQL$<具名執行個體名> 或NT Service\MSSQLSERVER(預設執行個體) ,並且密碼留空:
3. 點擊【應用】並重啟服務。
原理:
虛擬帳號可以被視為本地託管帳號,它們不需要管理(所以稱為託管),不能進行建立,也不需要提供密碼。但是需要注意,虛擬帳號不能用於SQL Server群集,因為它在每個節點上沒有相同的SID,如果需要用於群集,可以使用域託管帳號。
另外,虛擬帳號可以作為網路中的電腦帳號訪問網路資源,所以如果像讓網路訪問你的服務,優先考慮使用這類託管帳號。