এসকিউএল সার্ভার পরিষেবা অ্যাকাউন্ট উইন্ডোজ সুবিধাগুলি এবং অধিকার

12

আমার প্রশ্ন হ'ল আপনি যদি প্রতিটি এসকিউএল সার্ভার প্রক্রিয়াটির জন্য একটি নতুন ডোমেন ব্যবহারকারী অ্যাকাউন্ট তৈরি করেন তবে প্রতিটি অ্যাকাউন্টের জন্য কী অনুমতি নির্ধারণ করা উচিত? অথবা এসকিউএল কনফিগারেশন ম্যানেজারটি আসলে এটি যত্ন করে এবং আমার কেবল একটি অপ্রত্যাশিত সমস্যা ছিল?

আমার প্রায়শই মাইক্রোসফ্ট এসকিউএল সার্ভার সেটআপ করতে হয় এবং ভেবে অবাক হয় যে পরিষেবাগুলি যেভাবে চালানো উচিত সেগুলি অ্যাকাউন্টের কনফিগার করার বিষয়ে কেউ পরামর্শ দিতে পারে কিনা। আইএমও এটি মাইক্রোসফ্ট দ্বারা অস্পষ্টভাবে নথিভুক্ত করা হয়েছে, যখন তারা আপনাকে সঠিক দিকে নির্দেশ করে আমি কোনও ठोस উদাহরণ খুঁজে পাইনি।

আমি এখন পর্যন্ত যা দেখেছি তার সংক্ষিপ্তসার হিসাবে:

সাধারণ স্থাপনা-বিকাশের পরিবেশের জন্য ভার্চুয়াল অ্যাকাউন্টটি ইনস্টলারের ডিফল্ট হিসাবে ব্যবহার করা ঠিক আছে: উদাহরণস্বরূপ NT SERVICE\MSSQLSERVER

SYSTEMঅ্যাকাউন্ট ব্যবহার করা এড়িয়ে চলুন , এটি সুরক্ষিত নয়।

উত্পাদন এবং ডোমেন পরিবেশে এটি কোনও পরিচালিত পরিষেবা অ্যাকাউন্ট ব্যবহার করার জন্য বা প্রতিটি পরিষেবার জন্য একটি ডোমেন ব্যবহারকারী অ্যাকাউন্ট (প্রশাসক নয়) তৈরি করার পরামর্শ দেওয়া হয়। কথিত হিসাবে যদি আপনি ইনস্টলেশনের সময় কোনও ডোমেন অ্যাকাউন্ট ব্যবহার করেন তবে ইনস্টলার আপনার জন্য প্রয়োজনীয় অনুমতি নির্ধারণ করবে।

যদি ভার্চুয়াল অ্যাকাউন্ট থেকে কোনও ডোমেন অ্যাকাউন্টে কোনও ইনস্টল থাকা সার্ভিস অ্যাকাউন্টটি পরিবর্তন করা হয় তবে নতুন সার্ভিস অ্যাকাউন্টগুলি সেট করতে এসকিউএল সার্ভার কনফিগারেশন ম্যানেজারটি ব্যবহার করার পরামর্শ দেওয়া হয়। কথিতভাবে এটি আপনার জন্য প্রয়োজনীয় অনুমতি নির্ধারণ করবে।

আমি কেবল একটি বিদ্যমান ইনস্টলের সার্ভিস অ্যাকাউন্টটি একটি ডোমেন অ্যাকাউন্টে পরিবর্তন করার চেষ্টা করেছি এবং অ্যাকাউন্টের log on as serviceঅনুমতি না দেওয়া পর্যন্ত এটি আমাকে লগইন ব্যর্থতা দেয় , যা এসকিউএল সার্ভার কনফিগারেশন ব্যবস্থাপক কোনও প্রয়োজনীয় অনুমতি সেট করবে এমন অংশের সাথে বৈপরীত্য প্রদর্শন করে। (যদিও আমি নিশ্চিত না যে কোনও জিপিও এই স্থানীয় সুরক্ষা নীতি নির্ধারণে হস্তক্ষেপ করেছে)

মাইক্রোসফ্ট এই পৃষ্ঠায় এসকিউএল সার্ভার সেটআপ মঞ্জুর করে এমন অনুমতিগুলির একটি তালিকা সরবরাহ করে

তবে এটি আমার কাছে স্পষ্ট নয় যে আমি যদি পরিষেবাটি চালানোর জন্য তৈরি করা ব্যবহারকারীর পক্ষে ম্যানুয়ালি করা উচিত বা এসকিউএল কনফিগার ম্যানেজার ব্যবহার করে স্বয়ংক্রিয়ভাবে এই অনুমতিগুলি সেট করা উচিত কিনা।

এসকিউএল সার্ভার 2014, ডোমেন নিয়ন্ত্রকটি উইন্ডোজ সার্ভার 2008 আর 2 এ রয়েছে।

sql-server  configuration  sql-server-2014  service-accounts 
plumdog
সূত্র
এসকিউএল এর কোন সংস্করণ? এটি কি এডি পরিবেশ? যদি তা হয় তবে ডোমেন স্তর কী?
ক্যাথরিন ভিলিয়ার্ড 20'15
ধন্যবাদ, আমি প্রশ্নটিতে সংস্করণগুলি যুক্ত করেছি। এসকিউএল সার্ভার 2014, ডোমেন কন্ট্রোলার উইন্ডোজ সার্ভার 2008 আর 2 কার্যকরী স্তরে রয়েছে
1
এটি আমার কাছে অস্পষ্ট ডকুমেন্টেশনের মতো দেখাচ্ছে না। এটি বেশ বিস্তৃত দেখায়। - msdn.microsoft.com/en-us/library/ms143504.aspx
হ্যাঁ আমি একমত, সামগ্রিকভাবে ডকুমেন্টেশন ভাল তবে যে অংশটি সম্পর্কে আমি অনিশ্চিত তা অস্পষ্ট ছিল সেটাই আমার অর্থ। আপনি ঠিক বলেছেন, বড় আকারে ডকুমেন্টেশন খুব বিস্তারিত is
প্লামডোগ

উত্তর:

10

আমার প্রায়শই এমএস এসকিউএল সার্ভার সেটআপ করতে হয় এবং ভেবে অবাক হয় যে পরিষেবাগুলি যেভাবে চালানো উচিত সেগুলি অ্যাকাউন্টের কনফিগার করার বিষয়ে কেউ পরামর্শ দিতে পারে কিনা। আইএমও এটি মাইক্রোসফ্ট দ্বারা অস্পষ্টভাবে নথিভুক্ত করা হয়েছে, যখন তারা আপনাকে সঠিক দিকে নির্দেশ করে আমি কোনও ठोस উদাহরণ খুঁজে পাইনি।

এটি আসলে বেশ পুঙ্খানুপুঙ্খভাবে নথিভুক্ত করা হয়েছে: http://msdn.microsoft.com/en-us/library/ms143504.aspx

এমন একটি অংশ রয়েছে যা সম্পর্কে আপনি নিশ্চিত নন?

সাধারণ মোতায়েন \ বিকাশের পরিবেশগুলির জন্য ভার্চুয়াল অ্যাকাউন্টটি ইনস্টলার ব্যবহারকারীর ডিফল্ট হিসাবে ব্যবহার করা ঠিক আছে: যেমন এনটি সার্ভিস \ এমএসএসকিউএসএলভার

এটি পরিবেশের উপর নির্ভর করতে চলেছে। আমি ব্যক্তিগতভাবে কোনও স্থানীয় অ্যাকাউন্ট ব্যবহার করে সার্ভারের সন্ধানের জন্য ঘৃণা করি এবং অন্যান্য সমস্যার মধ্যে ভবিষ্যতে কিছু সময় নেটওয়ার্ক সংস্থানগুলিতে অ্যাক্সেস পেতে বলছি।

উত্পাদন এবং ডোমেন পরিবেশে এটি কোনও পরিচালিত পরিষেবা অ্যাকাউন্ট ব্যবহার করার জন্য বা প্রতিটি পরিষেবার জন্য একটি ডোমেন ব্যবহারকারী অ্যাকাউন্ট (প্রশাসক নয়) তৈরি করার পরামর্শ দেওয়া হয়।

আবার, নির্ভর করে, তবে সাধারণত আমি সম্মত হব (একটি পাল্টা উদাহরণ প্রাপ্যতা গ্রুপ হবে যেখানে এটি সমস্ত দৃষ্টান্তে একটি একক ডোমেন অ্যাকাউন্ট ব্যবহার করা বোধ করে)।

কথিত হিসাবে যদি আপনি ইনস্টলেশনের সময় কোনও ডোমেন অ্যাকাউন্ট ব্যবহার করেন তবে ইনস্টলার আপনার জন্য প্রয়োজনীয় অনুমতি নির্ধারণ করবে।

যদি কোনও ব্যর্থতা ইত্যাদি না ঘটে তবে তা করবে। আমি নিশ্চিত নই কেন "কথিত" অংশ।

যদি ভার্চুয়াল অ্যাকাউন্ট থেকে কোনও ডোমেন অ্যাকাউন্টে কোনও ইনস্টল থাকা সার্ভিস অ্যাকাউন্টটি পরিবর্তন করা হয় তবে নতুন সার্ভিস অ্যাকাউন্টগুলি সেট করতে এসকিউএল সার্ভার কনফিগারেশন ম্যানেজারটি ব্যবহার করার পরামর্শ দেওয়া হয়। কথিতভাবে এটি আপনার জন্য প্রয়োজনীয় অনুমতি নির্ধারণ করবে।

এসকিউএল সার্ভারের জন্য যে কোনও পরিষেবা পরিবর্তন করার সময়, সর্বদা এসএসসিএম ব্যবহার করুন। সর্বদা. সময়কাল। এটি বেসিকের জন্য নতুন অ্যাকাউন্টের অনুমতি নির্ধারণ করবে। যদি স্থানীয় সিস্টেম অ্যাকাউন্টটি ব্যবহার করার আগে এবং সিস্টেমের প্রত্যেকটিতে সীমাবদ্ধ অনুমতি না পাওয়া হয়, আমি কঠোর নিয়ন্ত্রিত সুরক্ষার কারণে পরিবর্তনের পরে অনুমতি ব্যর্থ হওয়ার কিছু প্রত্যাশা করতাম। এটি কোনও এসকিউএল সার্ভার এসএসসিএম ত্রুটি নয়, এটি যথাযথ এক্সট্রা অনুমতি না দেওয়ার অ্যাডমিন দোষ (যেমন কোনও নেটওয়ার্ক শেয়ার অ্যাক্সেস করা, সীমাবদ্ধ ফোল্ডারগুলি, এসকিউএল সার্ভারের বাইরে থাকা আইটেম ইনস্টল করুন পূর্বরূপ ইত্যাদি))

আমি কেবল একটি বিদ্যমান ইনস্টলটিতে পরিষেবা অ্যাকাউন্টটি একটি ডোমেন অ্যাকাউন্টে পরিবর্তন করার চেষ্টা করেছি এবং অ্যাকাউন্টটি 'পরিষেবা হিসাবে লগ ইন' অনুমোদন না দেওয়া পর্যন্ত এটি আমাকে লগইন ব্যর্থতা দেয়, যা এসকিউএল সার্ভার কনফিগারেশন ব্যবস্থাপক কোনও প্রয়োজনীয় সেট নির্ধারণ করবে এমন অংশের সাথে বিরোধিতা করে ts অনুমতি। (যদিও কোনও জিপিও এই স্থানীয় সুরক্ষা নীতি নির্ধারণে হস্তক্ষেপ করেছে কিনা তা আমি নিশ্চিত না)

জিপিওর মতো শব্দগুলি কোনও সমস্যা তৈরি করছে (আইএমএইচও)। প্রথমবার হবে না :)

সুতরাং আমার প্রশ্নটি হল, আপনি যদি প্রতিটি এসকিউএল সার্ভারের জন্য একটি নতুন ডোমেন ব্যবহারকারী অ্যাকাউন্ট তৈরি করেন তবে প্রতিটি অ্যাকাউন্টের জন্য কী অনুমতি নির্ধারণ করা উচিত?

আমি উপরে বর্ণিত এমএসডিএন লিঙ্কে বর্ণিতগুলির বাইরে স্পষ্টভাবে যে কোনও অনুমতি সেট করব (@ জোয়াকওয়ার্টি এবং আপনার ওপিতেও দিয়েছেন)। উদাহরণস্বরূপ, একটি নেটওয়ার্ক শেয়ারের "ব্যাকআপ" ফোল্ডারে নতুন ড্রাইভে নতুন ডাটাবেসগুলি ধরে রাখার জন্য যুক্ত করা হয়েছে (যেখানে সেটআপ ইতিমধ্যে চালু ছিল তবে ড্রাইভটি বিদ্যমান ছিল না) ইত্যাদি।

তবে এটি আমার কাছে স্পষ্ট নয় যে আমি যদি পরিষেবাটি চালানোর জন্য তৈরি করা ব্যবহারকারীর পক্ষে ম্যানুয়ালি করা উচিত বা এসকিউএল কনফিগার ম্যানেজার ব্যবহার করে স্বয়ংক্রিয়ভাবে এই অনুমতিগুলি সেট করা উচিত কিনা।

সার্ভারের সাথে কোনও কিছু অত্যন্ত বিচ্ছিন্ন না হলে এগুলি ম্যানুয়ালি দেওয়া উচিত নয়।

শান গ্যালার্ডি
সূত্র
আপনার জবাবের জন্য ধন্যবাদ, আমি আপনার মন্তব্যের সাথে একমত আমি এটি যাচাই করার জন্য এসকিউএল সার্ভারটি আলাদা আলাদা ক্লিন ভিএম এ সেটআপ করেছি এবং আমি ভার্চুয়াল অ্যাকাউন্ট এনটি সার্ভিস / এমএসএসকিউএলএসভার থেকে একটি ডোমেন ব্যবহারকারীর অ্যাকাউন্টে অদলবদল করতে সক্ষম হয়েছি এবং এটি কোনও সমস্যা ছাড়াই কাজ করেছে। সুতরাং আমি মনে করি উত্তরটি যেমনটি বলেছেন ঠিক তেমনই, পরিষেবা ব্যবহারকারী অ্যাকাউন্ট লগইনগুলি পরিবর্তন করতে এসকিউএল সার্ভার কনফিগারেশন ম্যানেজার ব্যবহার করুন এবং কোনও অতিরিক্ত অনুমতি প্রয়োজন হবে না।
বরফডগ
একটি অতিরিক্ত মন্তব্য, দুঃখিত, আমি ভবিষ্যতে আমি যা করব তার পোস্টের শীর্ষে আমার মূল বিষয়টিকে রেখে আমার প্রশ্নকে আরও পরিষ্কার করতে পারতাম। মূল প্রশ্নটি সম্পর্কে আমি নিশ্চিত ছিল না; [যদি আপনি প্রতিটি এসকিউএল সার্ভার প্রক্রিয়াগুলির জন্য একটি নতুন ডোমেন ব্যবহারকারী অ্যাকাউন্ট তৈরি করেন তবে প্রতিটি অ্যাকাউন্টের জন্য কী অনুমতি নির্ধারণ করা উচিত? ...]। এই অংশে ডকুমেন্টেশনটি অস্পষ্ট হওয়ার কারণটি হ'ল কারণ এখানে অনুমতিগুলির একটি তালিকা রয়েছে যা সেট করা আছে তবে এসএসসিএম আপনার জন্য এগুলি সেট করবে কিনা তা স্পষ্ট নয়।
প্লামডোগ
@ প্লামডগ আপনার দ্বিতীয় মন্তব্যে, বেশিরভাগ অনুমতি ইনস্টলার দ্বারা দেওয়া হয়। ভার্চুয়াল সার্ভিস অ্যাকাউন্ট এবং এসআইডি এটির সাথে আবদ্ধ থাকে, এজন্য এসএসসিএম সর্বদা ব্যবহার করা উচিত যাতে পরিষেবা মাস্টার কী এনক্রিপশনে আবদ্ধ সুরক্ষা ইত্যাদির মতো অন্যান্য বিষয়গুলির মধ্যে সঠিকভাবে আবদ্ধ হওয়া অনুমতিগুলির বাইরে স্থানান্তর করা এবং আউট করা উচিত that ।
শান গ্যালার্ডি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.