[轉] SQL SERVER 2008 R2 安裝中的賬戶設定問題

標籤：

故紙堆 原文：SQL SERVER 2008安裝中設定賬戶的問題 ，2013-7

 

在安裝SQL Server 2008資料庫伺服器的時候，伺服器有可能處於以下幾種環境中：
①工作群組環境下的伺服器 (WorkGroup)
②域環境下的網域控制站  (Domain Controller)
③域環境下的成員伺服器 (Domain Member)
④群集環境 (cluster)
 
在實際應用中，開發人員或者實施人員很少有機會接觸到基於網域控制站的網路環境的應用，絕大多數應用都是針對工作群組環境的。
比如：配置好的IIS伺服器中會發布很多網站，伺服器本身也會承載資料庫的角色等，此時即是在工作群組環境下的應用。

但對於微軟平台企業級應用開發而言，則幾乎都需要在域環境下進行應用和部署。
比如微軟的CRM，SharePoint，uc等產品的二次開發、.NET平台為了適應企業環境和組織架構在域模式下的應用開發等，此時可能會涉及到在網域控制站、域成員伺服器甚至在“群集”中安裝SQL Server 2008。
 
上面列舉了SQL SERVER 2008可能的應用部署環境，但無論是哪一種環境下應用，都會碰到為每個<SQL Server服務>配置賬戶的問題。

為什麼要給SQL SERVER 的每一個服務配置賬戶？
這是因為：給SQL SERVER服務配置了不同的賬戶之後，該SQL SERVER服務就會以該賬戶所屬的組來運行，從而通過賬戶去控制該服務訪問各種資源的許可權。

SQL Server 2008內建了3個賬戶，分別是：
Local Service 本地服務帳戶，
Network Service 網路服務帳戶，
Local System 本地系統帳戶

1.Local Service 帳戶： 
Local Service本地服務帳戶與 Users 組的成員具有相同層級的資源和對象存取權限
(題外話：什麼是Users賬戶組，參見《Windows六大使用者組功能分析》)。
如果有個別服務或進程的安全性受到威脅，則此賬戶的有限存取權限有助於保護系統的安全性。
以 Local Service 帳戶身份啟動並執行服務將以一個沒有憑據的 Null 會話形式訪問網路資源。
請注意：SQL Server 或 SQL Server Agent服務不支援 Local Service 帳戶。
該帳戶的實際名稱為“NT AUTHORITY\LOCAL SERVICE”。

題外話：Windows憑據（Credential）其實就是指使用者帳戶和口令。
               Null會話，即空會話，參見《空串連》一文。

2.Network Service 帳戶： 
Network Service 網路服務賬戶比 Users 組的成員擁有更多的對資源和對象的存取權限。
以 Network Service 帳戶身份啟動並執行服務將使用電腦帳戶的憑據訪問網路資源。
該帳戶的實際名稱為“NT AUTHORITY\NETWORK SERVICE”。
 

3.Local System 帳戶： 
Local System 本地系統賬戶是一個具有高特權的內建帳戶。
它對本地系統有許多許可權並作為網路上的電腦。
該帳戶的實際名稱為“NT AUTHORITY\SYSTEM”。

---------------------------------------------------------------------------------------------------------------------------

在實際應用中，

1.若在工作群組環境下安裝SQL Server 2008，允許使用的賬戶包括：
①本機使用者帳戶(注意不是Local Service本地服務賬戶！)、
②內建賬戶（Network Service網路服務賬戶、Local System本地系統賬戶等）。 
 
2.若在域環境上(包括成員伺服器)安裝 SQL Server 2008，
(注意：出於安全方面的考慮，Microsoft 建議不要將 SQL Server 2008 安裝在網域控制站上)
雖然SQL Server 安裝程式不會阻止在作為網域控制站的電腦上進行安裝，但存在以下限制：
①可使用的賬戶受限
在網域控制站上，無法在<Local Service本地服務帳戶>或<Network Service網路服務帳戶>下運行 SQL Server 服務。此時用的賬戶一般是域賬戶和<Local System本地系統賬戶>。 
②將 SQL Server 安裝到電腦上之後，無法將此電腦從域成員更改為網域控制站。
必須先卸載 SQL Server，然後才能將主機電腦更改為網域控制站。 
③在叢集節點用作網域控制站的情況下，不支援 SQL Server 容錯移轉叢集執行個體。
④SQL Server 安裝程式不能在唯讀網域控制站上建立安全性群組或設定 SQL Server 服務帳戶。在這種情況下，安裝將失敗。
--------------------------

總之，通過給不同的SQL SERVER 服務配置不同的賬戶，就可以控制其許可權，從而限制可訪問的資源，並且有助於系統的安全運行。

 

[轉] SQL SERVER 2008 R2 安裝中的賬戶設定問題