SQL 服務應該使用什麼帳戶？

我最近在瀏覽我們的 SQL Server (2014)，並註意到 SQL 服務帳戶使用該LOCAL SYSTEM帳戶。使用此帳戶是否有任何問題 - 優點/缺點？我們應該使用另一個帳戶嗎？

使用者確實經常執行OPENROWSET和XP_CMDSHELL命令。不確定低權限帳戶是否可以使用高級功能。

謝謝！

作為安全最佳實踐，不要使用本地系統：

Local System 是一個權限非常高的內置帳戶。它在本地系統上具有廣泛的權限，並充當網路上的電腦。

女士文件

在“專業”方面，使用高特權帳戶意味著它不太可能遇到任何權限問題 - 或者等等，這是一個騙局嗎？:)

在某些情況下（例如 FCI）​​需要域帳戶（包括 g/MSA），但不是全部。對於獨立 SQL Server 安裝，可以接受虛擬帳戶。請閱讀上面連結的文件以獲取更多資訊。為 Windows 上的 SQL Server 解釋：

如果已加入域，則使用 gMSA 或 MSA。如果未加入域，則使用虛擬帳戶。

引用相同的文件：

始終使用盡可能低的使用者權限執行 SQL Server 服務。盡可能使用 MSA、gMSA 或虛擬帳戶。

這些設置不是最佳實踐。但是您可能必須將某些程序移動到 SQL 代理或 SSIS 才能更改它們。但是使用需要訪問桌面會話的驅動程序的連結伺服器以及執行 xp_cmdshell也不是最佳實踐。所以這也是進步。

引用自：https://dba.stackexchange.com/questions/283006