¿Hay algún impacto negativo en el rendimiento por usar la misma cuenta de servicio y cuenta de agente para ejecutar SQL Server y SQL Agent respectivamente para todas las instancias de servidor SQL que se ejecutan en una pequeña empresa de, digamos, 35 servidores? La base de datos más grande es de 0.5 GB. Cualquier sugerencia es bienvenida. Gracias.
¿Hay algún impacto negativo en el rendimiento por usar la misma cuenta de servicio y cuenta de agente para ejecutar SQL Server y SQL Agent respectivamente para todas las instancias de servidor SQL que se ejecutan en una pequeña empresa de, digamos, 35 servidores?
No. Las cuentas de servicio no afectan el rendimiento de ninguna manera. ¡Se trata de seguridad!
Del documento técnico de mejores prácticas de seguridad de SQL Server 2012 (advertencia: word doc) :
Al elegir cuentas de servicio, tenga en cuenta el principio de menor privilegio . La cuenta de servicio debe tener exactamente los privilegios que necesita para hacer su trabajo y no más privilegios.
También debe considerar el aislamiento de la cuenta ; las cuentas de servicio no solo deben ser diferentes entre sí, no deben ser utilizadas por ningún otro servicio en el mismo servidor.
Si está ejecutando Windows Server 2008 R2 y SQL Server 2012 en adelante, lo mejor es usar
Cuentas virtuales o
Las cuentas virtuales son cuentas locales administradas que se aprovisionan y administran automáticamente. En SQL Server 2012, son la cuenta de servicio predeterminada especificada durante la instalación. Puede acceder a la red. Una cuenta de servicio virtual tiene un nombre conocido en forma de NT SERVICE \ y puede acceder a la red utilizando las credenciales \ $.
cuentas de servicios gestionados
Una cuenta de servicio administrada es un tipo especial de cuenta de dominio que puede asignarse a una sola computadora y usarse para administrar un servicio. Debe ser aprovisionado por el administrador del dominio antes de ser utilizado. Este tipo de cuenta no se puede usar para iniciar sesión en una computadora y proporciona administración automática de SPN y contraseña, una vez aprovisionada.
El verdadero problema con el uso de una cuenta de servicio para todos sus servidores es: ¿Qué tan seguro desea ser? Si alguien puede hackear esa cuenta , los 35 servidores quedan expuestos de una sola vez.
Prefiero al menos una cuenta de servicio por servidor. Y tener varias cuentas de servicio para diferentes usos también se recomienda por seguridad.
Consulte: Configurar cuentas de servicio de Windows y permisos
Esto ofrece amplias sugerencias sobre cuentas de servicio. Por supuesto, depende de usted determinar cuánto necesita o quiere hacer.
Por supuesto, puede otorgar permisos locales para una cuenta de servicio en otro servidor. Esto le permitiría realizar cambios de acuerdo con los permisos que haya otorgado.
No hay un impacto negativo en el rendimiento al usar la misma cuenta en todos sus servidores. Sin embargo, si se produce un cambio en esa cuenta, afectará a todos sus servicios al usar esa cuenta. Es posible que desee considerar diferentes cuentas para diferentes entornos (por ejemplo, DEV, TEST, PROD).