Использование учетной записи администратора домена для SQL Server

Question

Разумно ли использовать Администратор домена в качестве входа для проверки подлинности SQL Windows?

Answer 1

Я думаю, что в некоторых сообщениях предполагается, что вы хотите запустить службу SQL Server под учетной записью администратора домена (что, я согласен, было бы брешей в безопасности), но, как вы сказали в своих пояснениях, это просто регистрация чтобы что-то делать с базой данных, я не вижу проблем с ней .... Пока пользователь, о котором идет речь (я предполагаю, что это вы здесь), знает, что не нужно удалять рабочую базу данных и т. д.!

Некоторые вещи, которые вам нужно сделать для установки, требуют привилегий администратора баз данных, если вы приобретаете их, будучи администратором домена, то какая разница?

Answer 2

Нет. Локальный админ, возможно, да: никогда не администратор домена

Например, xp_cmdshell позволит полностью контролировать AD и вашу среду. Код CLR может сделать то же самое. Хотя они по умолчанию отключены, вы не можете полагаться на это для защиты всей сети.

Edit:

Вход в систему в качестве пользователя с правами администратора домена не отличается от использования Exchange или аналогичного с той же учетной записью. Для SQL Server. никакие дополнительные права не предоставляются и не подразумеваются, поскольку все разрешения определены в SQL Server.

Таким образом, если у вас есть только группа «Администратор SQL Server» в качестве sysadmin, а администраторы домена и локальные пользователи не входят в эту группу или не настроены как учетные записи, тогда они получают обычные права пользователя в соответствии с их логином. Или они даже не могут соединиться.

Конечно, как администраторы домена или предприятия они могут просто добавить себя в группу «Администратор SQL Server» ... но это требует дополнительного шага и ограничивает вашего системного администратора в правильной группе администраторов.

В конце концов, вы бы не позволили мне стать богом SQL возле вашего сервера Exchange ...

Answer 3

а.Если у вас нет проблем с безопасностью - это не имеет значения.

b.Если вы подключены к Интернету, вы не должны.кто-то может атаковать ваш домен, используя дыры в коде SQL, если используемое приложение использует аутентификацию администратора домена.или если кто-то получит доступ к вашей машине администрирования.

c.нет связи между администратором домена и администратором сервера sql - так зачем это делать?

Просто чтобы было ясно - это не мудро!

Answer 4

Это зависит от - ну, - от вашего размера и практики безопасности. Это действительно показывает угрозу безопасности, но, как бы мудро это ни было, не зависит от остальных настроек.

Answer 5

По моему мнению, я бы не использовал учетную запись администратора для всего, что связано с управлением (это мой опыт Linux, говорящий мне, что учетные записи root не должны использоваться).