SQL Server 서비스 계정 Windows 권한 및 권한

12

제 질문은 각 SQL Server 프로세스에 대해 새 도메인 사용자 계정을 만드는 경우 각 계정에 어떤 권한을 설정해야합니까? 아니면 SQL 구성 관리자가 실제로 이것을 처리합니까? 예기치 않은 문제가 있습니까?

필자는 종종 Microsoft SQL Server를 설정해야했으며, 서비스를 실행할 계정 구성에 대한 조언을 제공 할 수 있는지 궁금했습니다. IMO는 Microsoft에 의해 모호하게 문서화되어 있지만 정확한 예를 찾을 수는 없었지만 구체적인 예를 찾지 못했습니다.

지금까지 본 내용을 요약하면 다음과 같습니다.

간단한 배포 / 개발 환경의 경우 설치 관리자가 사용하는 가상 계정 기본값을 사용하는 것이 좋습니다. 예 : NT SERVICE\MSSQLSERVER

SYSTEM계정을 사용하지 마십시오 . 안전하지 않습니다.

프로덕션 및 도메인 환경의 경우 관리 서비스 계정을 사용하거나 각 서비스에 대해 관리자가 아닌 도메인 사용자 계정을 만드는 것이 좋습니다. 설치시 도메인 계정을 사용하는 경우 설치 관리자가 필요한 권한을 설정합니다.

기존 설치의 서비스 계정을 가상 계정에서 도메인 계정으로 변경하는 경우 SQL Server 구성 관리자를 사용하여 새 서비스 계정을 설정하는 것이 좋습니다. 이로 인해 필요한 권한이 설정됩니다.

방금 기존 설치의 서비스 계정을 도메인 계정으로 변경하려고 시도했는데 계정 log on as service권한을 부여 할 때까지 로그온이 실패 하여 SQL Server 구성 관리자가 필요한 권한을 설정하는 부분과 모순됩니다. (GPO가이 로컬 보안 정책 설정을 방해했는지 확실하지는 않지만)

Microsoft는 이 페이지 에서 SQL Server 설치 프로그램이 부여하는 권한 목록을 제공합니다 .

그러나 그것이 내가 서비스를 실행하기 위해 내가 만든 사용자를 위해 수동으로 수행 해야하는지 또는 SQL 구성 관리자를 사용하여 이러한 권한을 자동으로 설정 해야하는지 여부는 분명하지 않습니다.

SQL Server 2014 도메인 컨트롤러는 Windows Server 2008 R2에 있습니다.

sql-server  configuration  sql-server-2014  service-accounts 
plumdog
소스
어떤 버전의 SQL? 이것이 AD 환경입니까? 그렇다면 도메인 수준은 무엇입니까?
Katherine Villyard
감사합니다. 질문에 버전을 추가했습니다. SQL Server 2014, 도메인 컨트롤러는 Windows Server 2008 R2 기능 수준
1
이것은 나에게 모호한 문서처럼 보이지 않습니다. 이것은 매우 포괄적으로 보입니다. - msdn.microsoft.com/en-us/library/ms143504.aspx
네, 동의합니다. 전체적으로 문서는 훌륭하지만 확실하지 않은 부분은 모호했습니다. 당신은 맞습니다. 문서는 매우 상세합니다.
plumdog

답변:

10

MS SQL Server를 설치해야 할 때가 많으며 누구나 서비스를 실행할 계정 구성에 대한 조언을 제공 할 수 있는지 궁금했습니다. IMO는 Microsoft에 의해 모호하게 문서화되어 있지만 정확한 예를 찾을 수는 없었지만 구체적인 예를 찾지 못했습니다.

실제로는 매우 철저하게 문서화되어 있습니다. http://msdn.microsoft.com/en-us/library/ms143504.aspx

확실하지 않은 부분이 있습니까?

간단한 배포 / 개발 환경의 경우 설치 관리자가 사용하는 가상 계정 기본값을 사용하는 것이 좋습니다. 예 : NT SERVICE \ MSSQLSERVER

이것은 환경에 달려 있습니다. 개인적으로 누군가 로컬 계정을 사용하여 설정 한 서버를 찾고 나중에 다른 문제 중에서 네트워크 리소스에 액세스하도록 요청하는 것을 싫어합니다.

프로덕션 및 도메인 환경의 경우 관리 서비스 계정을 사용하거나 각 서비스에 대해 관리자가 아닌 도메인 사용자 계정을 만드는 것이 좋습니다.

다시 말하지만, 일반적으로 동의합니다 (반대의 예는 모든 인스턴스에서 단일 도메인 계정을 사용하는 것이 적합한 가용성 그룹입니다).

설치시 도메인 계정을 사용하는 경우 설치 관리자가 필요한 권한을 설정합니다.

실패 등이 없으면 그렇지 않습니다. 왜 "의혹스러운"부분인지 모르겠습니다.

기존 설치의 서비스 계정을 가상 계정에서 도메인 계정으로 변경하는 경우 SQL Server 구성 관리자를 사용하여 새 서비스 계정을 설정하는 것이 좋습니다. 이로 인해 필요한 권한이 설정됩니다.

SQL Server의 서비스를 변경할 때는 항상 SSCM을 사용하십시오. 항상. 기간. 새 계정에 대한 권한을 기본으로 설정합니다. 로컬 시스템 계정을 사용하기 전에 시스템의 모든 것에 대한 무제한 권한이 있었으면 보안이 강화되어 변경 후 권한이 실패 할 것으로 예상됩니다. 이는 SQL Server SSCM 오류가 아닙니다. 즉, 네트워크 공유, 제한된 폴더, SQL Server 설치 범위 외부의 항목에 액세스하는 등의 적절한 EXTRA 권한을 부여하지 않은 관리자 오류입니다.

방금 기존 설치의 서비스 계정을 도메인 계정으로 변경하려고 시도했으며 계정에 '서비스로 로그온'권한을 부여 할 때까지 로그온이 실패하여 SQL Server 구성 관리자가 필요한 설정을 모순하는 부분과 상충됩니다. 권한. (GPO가이 로컬 보안 정책 설정을 방해했는지 확실하지는 않지만)

GPO가 문제 (IMHO)를 일으키는 것처럼 들립니다. 처음이 아닐 것입니다 :)

제 질문은 각 SQL Server 프로세스에 대해 새 도메인 사용자 계정을 만들면 각 계정에 대해 어떤 권한을 설정해야합니까?

위의 msdn 링크 (@joeqwerty 및 OP에 있음)에 명시된 권한 이외의 권한을 명시 적으로 설정합니다. 예를 들어, 네트워크 공유의 "백업"폴더, 새 데이터베이스를 저장하기 위해 추가 된 새 드라이브 (설치는 이미 실행되었지만 드라이브는 존재하지 않는 경우) 등

그러나 그것이 내가 서비스를 실행하기 위해 내가 만든 사용자를 위해 수동으로 수행 해야하는지 또는 SQL 구성 관리자를 사용하여 이러한 권한을 자동으로 설정 해야하는지 여부는 분명하지 않습니다.

서버에 문제가 발생하지 않는 한 수동으로 제공하지 않아도됩니다.

숀 갈라 디
소스
답장을 보내 주셔서 감사합니다. 귀하의 의견에 동의합니다. 이를 확인하기 위해 다른 깨끗한 VM에 SQL Server를 설정하고 가상 계정 NT SERVICE / MSSQLSERVER에서 도메인 사용자 계정으로 바꿀 수 있었고 아무런 문제없이 작동했습니다. 따라서 대답은 SQL Server 구성 관리자를 사용하여 서비스 사용자 계정 로그온을 변경하고 추가 권한이 필요하지 않다고 생각합니다.
plumdog
추가 의견 하나, 죄송합니다. 앞으로 할 게시물 맨 위에 주요 요점을 두어 질문을 더 명확하게 만들 수있었습니다. 내가 확실하지 않은 주요 질문은; [각 SQL Server 프로세스에 대해 새 도메인 사용자 계정을 만드는 경우 각 계정에 어떤 권한을 설정해야합니까? ...]. 이 부분에서 설명서가 모호하다고 생각한 이유는 설정된 권한 목록이 있기 때문이지만 SSCM이이를 설정하는지 여부는 명확하지 않습니다.
plumdog
@plumdog 두 번째 의견에 따르면 대부분의 권한은 설치 관리자가 제공합니다. 가상 서비스 계정과 sid는 여기에 묶여 있습니다. 따라서 SSCM은 항상 서비스 마스터 키 암호화에 연결된 보안과 같은 다른 것들 중에서도 연결된 권한에 대한 전송이 올바로 수행되도록해야합니다. .
숀 Gallardy
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.