[轉] SQL SERVER 2008 R2 安裝中的賬戶設置問題

故紙堆 原文：SQL SERVER 2008安裝中設置賬戶的問題 ，2013-7

 

在安裝SQL Server 2008數據庫服務器的時候，服務器有可能處於以下幾種環境中：
①工作組環境下的服務器 (WorkGroup)
②域環境下的域控制器  (Domain Controller)
③域環境下的成員服務器 (Domain Member)
④群集環境 (cluster)
 
在實際應用中，開發人員或者實施人員很少有機會接觸到基於域控制器的網絡環境的應用，絕大多數應用都是針對工作組環境的。
比如：配置好的IIS服務器中會發布很多網站，服務器本身也會承載數據庫的角色等，此時即是在工作組環境下的應用。

但對於微軟平台企業級應用開發而言，則幾乎都需要在域環境下進行應用和部署。
比如微軟的CRM，SharePoint，uc等產品的二次開發、.NET平台為了適應企業環境和組織架構在域模式下的應用開發等，此時可能會涉及到在域控制器、域成員服務器甚至在“群集”中安裝SQL Server 2008。
 
上面列舉了SQL SERVER 2008可能的應用部署環境，但無論是哪一種環境下應用，都會碰到為每個<SQL Server服務>配置賬戶的問題。

為什么要給SQL SERVER 的每一個服務配置賬戶？
這是因為：給SQL SERVER服務配置了不同的賬戶之后，該SQL SERVER服務就會以該賬戶所屬的組來運行，從而通過賬戶去控制該服務訪問各種資源的權限。

SQL Server 2008內置了3個賬戶，分別是：
Local Service 本地服務帳戶，
Network Service 網絡服務帳戶，
Local System 本地系統帳戶

1.Local Service 帳戶： 
Local Service本地服務帳戶與 Users 組的成員具有相同級別的資源和對象訪問權限
(題外話：什么是Users賬戶組，參見《Windows六大用戶組功能分析》)。
如果有個別服務或進程的安全性受到威脅，則此賬戶的有限訪問權限有助於保護系統的安全性。
以 Local Service 帳戶身份運行的服務將以一個沒有憑據的 Null 會話形式訪問網絡資源。
請注意：SQL Server 或 SQL Server 代理服務不支持 Local Service 帳戶。
該帳戶的實際名稱為“NT AUTHORITY\LOCAL SERVICE”。

題外話：Windows憑據（Credential）其實就是指用戶帳戶和口令。
               Null會話，即空會話，參見《空連接》一文。

2.Network Service 帳戶： 
Network Service 網絡服務賬戶比 Users 組的成員擁有更多的對資源和對象的訪問權限。
以 Network Service 帳戶身份運行的服務將使用計算機帳戶的憑據訪問網絡資源。
該帳戶的實際名稱為“NT AUTHORITY\NETWORK SERVICE”。
 

3.Local System 帳戶： 
Local System 本地系統賬戶是一個具有高特權的內置帳戶。
它對本地系統有許多權限並作為網絡上的計算機。
該帳戶的實際名稱為“NT AUTHORITY\SYSTEM”。

---------------------------------------------------------------------------------------------------------------------------

在實際應用中，

1.若在工作組環境下安裝SQL Server 2008，允許使用的賬戶包括：
①本地用戶帳戶(注意不是Local Service本地服務賬戶！)、
②內置賬戶（Network Service網絡服務賬戶、Local System本地系統賬戶等）。 
 
2.若在域環境上(包括成員服務器)安裝 SQL Server 2008，
(注意：出於安全方面的考慮，Microsoft 建議不要將 SQL Server 2008 安裝在域控制器上)
雖然SQL Server 安裝程序不會阻止在作為域控制器的計算機上進行安裝，但存在以下限制：
①可使用的賬戶受限
在域控制器上，無法在<Local Service本地服務帳戶>或<Network Service網絡服務帳戶>下運行 SQL Server 服務。此時用的賬戶一般是域賬戶和<Local System本地系統賬戶>。 
②將 SQL Server 安裝到計算機上之后，無法將此計算機從域成員更改為域控制器。
必須先卸載 SQL Server，然后才能將主機計算機更改為域控制器。 
③在群集節點用作域控制器的情況下，不支持 SQL Server 故障轉移群集實例。
④SQL Server 安裝程序不能在只讀域控制器上創建安全組或設置 SQL Server 服務帳戶。在這種情況下，安裝將失敗。
--------------------------

總之，通過給不同的SQL SERVER 服務配置不同的賬戶，就可以控制其權限，從而限制可訪問的資源，並且有助於系統的安全運行。