Gibt es negative Auswirkungen auf die Leistung bei Verwendung desselben Dienstkontos und Agentenkontos zum Ausführen von SQL Server bzw. SQL Agent für alle SQL Server-Instanzen, die in einem kleinen Unternehmen mit beispielsweise 35 Servern ausgeführt werden? Die größte Datenbank ist 0,5 GB. Anregungen sind willkommen. Danke.
Antworten:
Gibt es negative Auswirkungen auf die Leistung bei Verwendung desselben Dienstkontos und Agentenkontos zum Ausführen von SQL Server bzw. SQL Agent für alle SQL Server-Instanzen, die in einem kleinen Unternehmen mit beispielsweise 35 Servern ausgeführt werden?
Nein. Dienstkonten beeinträchtigen die Leistung in keiner Weise. Alles dreht sich um Sicherheit!
Aus dem Whitepaper zur bewährten SQL Server 2012-Sicherheit (Warnung: Word-Dokument) :
Berücksichtigen Sie bei der Auswahl von Dienstkonten das Prinzip der geringsten Berechtigungen . Das Dienstkonto sollte genau die Berechtigungen haben, die es für seine Arbeit benötigt, und keine Berechtigungen mehr.
Sie müssen auch die Kontoisolierung berücksichtigen . Die Dienstkonten sollten sich nicht nur voneinander unterscheiden, sondern auch nicht von anderen Diensten auf demselben Server verwendet werden.
Wenn Sie Windows Server 2008 R2 und SQL Server 2012 oder höher ausführen, ist es am besten, diese zu verwenden
Virtuelle Konten oder
Virtuelle Konten sind verwaltete lokale Konten, die automatisch bereitgestellt und verwaltet werden. In SQL Server 2012 sind sie das Standarddienstkonto, das beim Setup angegeben wurde. Es kann auf das Netzwerk zugreifen. Ein virtuelles Dienstkonto hat einen bekannten Namen in Form von NT SERVICE \ und kann mit den Anmeldeinformationen \ $ auf das Netzwerk zugreifen.
verwaltete Dienstkonten
Ein verwaltetes Dienstkonto ist ein spezieller Typ eines Domänenkontos, das einem einzelnen Computer zugewiesen und zum Verwalten eines Dienstes verwendet werden kann. Es muss vor der Verwendung vom Domänenadministrator bereitgestellt werden. Dieser Kontotyp kann nicht zum Anmelden bei einem Computer verwendet werden und bietet nach der Bereitstellung eine automatische SPN- und Kennwortverwaltung.
Das eigentliche Problem bei der Verwendung eines Dienstkontos für alle Ihre Server ist: Wie sicher möchten Sie sein? Wenn jemand in der Lage ist , dass ein Konto zu hacken , dann alle 35 Server sind ausgesetzt in einem Rutsch.
Ich bevorzuge mindestens ein Dienstkonto pro Server. Aus Sicherheitsgründen wird auch empfohlen, mehrere Dienstkonten für unterschiedliche Zwecke zu haben.
Siehe: Konfigurieren von Windows-Dienstkonten und -Berechtigungen
Dies bietet umfangreiche Vorschläge zu Dienstkonten. Es liegt natürlich an Ihnen, zu bestimmen, wie viel Sie tun müssen oder wollen.
Natürlich können Sie lokale Berechtigungen für ein Dienstkonto auf einem anderen Server erteilen. Auf diese Weise können Änderungen entsprechend den von Ihnen erteilten Berechtigungen vorgenommen werden.
Die Verwendung desselben Kontos auf allen Servern hat keine negativen Auswirkungen auf die Leistung. Wenn jedoch eine Änderung an diesem Konto vorgenommen wird, wirkt sich dies auf alle Ihre Dienste aus, die dieses Konto verwenden. Möglicherweise möchten Sie unterschiedliche Konten für unterschiedliche Umgebungen berücksichtigen (z. B. DEV, TEST, PROD).