Sql-Server

“指定 SQL Server 管理員” - 不尋常的預設值

  • August 24, 2015

安裝 SQL Server 時,您可以指定 SQL Server 管理員,即最初具有 sysadmin 角色的使用者列表。預設情況下,此列表包含目前使用者。

數據庫引擎配置

(圖片引自https://msdn.microsoft.com/en-us/library/dd578652.aspx。)

這個預設值讓我覺得很奇怪。**不是BUILTIN\Administrators比目前使用者更明智的選擇嗎?**畢竟,Windows 身份驗證的重點不是不必管理兩個單獨的使用者/組目錄嗎?並且本地管理員無論如何都可以獲得系統管理員權限,如果他們願意的話,所以它也不是一個真正的安全功能。

另一方面,SQL Server 是由比我聰明得多的人編寫的,所以這個預設值實際上可能有一個很好的理由。它是什麼?

您是對的:系統管理員可以獲得系統管理員訪問權限,但您會在該操作的預設跟踪中找到條目。此外,它需要至少重新啟動服務兩次,這幾乎不會被忽視。

不向 BUILTIN\Administrators 授予系統管理員權限是 SQL Server 2008 中引入的一項更改。在我看來,這是一個好主意:它允許伺服器管理員和 SQL Server 管理員之間的職責分離。

BUILTIN\Administrators 在您的系統管理員角色中的主要不良影響是失去控制,這可能表現為以下一項或多項令人討厭的事情:

  1. 出現在您的伺服器上的新數據庫
  2. 來自 Windows 管理員的不需要的連接,最終與合法連接競爭
  3. 對具有敏感數據的數據庫的 Windows 管理員的隱含權限
  4. 看似無害但會破壞“自助服務”操作,例如使用差異備份策略對數據庫進行完整的“一次性”備份。

長話短說,Windows 管理員擁有不同的技能組合和不同的心態,更不用說不同的職責:讓他們管理您的 SQL Server 實例並不是一個好主意。

我的建議是為您的 DBA 創建一個 windows 組,並在每次安裝新的 SQL Server 時將該組添加到 sysadmin 角色。

引用自:https://dba.stackexchange.com/questions/112011