Sql-Server

SQL 服務應該使用什麼帳戶?

  • January 11, 2021

我最近在瀏覽我們的 SQL Server (2014),並註意到 SQL 服務帳戶使用該LOCAL SYSTEM帳戶。使用此帳戶是否有任何問題 - 優點/缺點?我們應該使用另一個帳戶嗎?

使用者確實經常執行OPENROWSETXP_CMDSHELL命令。不確定低權限帳戶是否可以使用高級功能。

謝謝!

在此處輸入圖像描述

作為安全最佳實踐,不要使用本地系統:

Local System 是一個權限非常高的內置帳戶。它在本地系統上具有廣泛的權限,並充當網路上的電腦。

女士文件

在“專業”方面,使用高特權帳戶意味著它不太可能遇到任何權限問題 - 或者等等,這是一個騙局嗎?:)

在某些情況下(例如 FCI)​​需要域帳戶(包括 g/MSA),但不是全部。對於獨立 SQL Server 安裝,可以接受虛擬帳戶。請閱讀上面連結的文件以獲取更多資訊。為 Windows 上的 SQL Server 解釋:

如果已加入域,則使用 gMSA 或 MSA。如果未加入域,則使用虛擬帳戶。

引用相同的文件:

始終使用盡可能低的使用者權限執行 SQL Server 服務。盡可能使用 MSA、gMSA 或虛擬帳戶。

這些設置不是最佳實踐。但是您可能必須將某些程序移動到 SQL 代理或 SSIS 才能更改它們。但是使用需要訪問桌面會話的驅動程序的連結伺服器以及執行 xp_cmdshell也不是最佳實踐。所以這也是進步。

引用自:https://dba.stackexchange.com/questions/283006