[轉] SQL SERVER 2008 R2 安裝中的賬戶設定問題

在安裝SQL Server 2008資料庫伺服器的時候，伺服器有可能處于以下幾種環境中：

①工作組環境下的伺服器 (WorkGroup)

②域環境下的域控制器  (Domain Controller)

③域環境下的成員伺服器 (Domain Member)

④群集環境 (cluster)

在實際應用中，開發人員或者實施人員很少有機會接觸到基于域控制器的網絡環境的應用，絕大多數應用都是針對工作組環境的。

比如：配置好的IIS伺服器中會釋出很多網站，伺服器本身也會承載資料庫的角色等，此時即是在工作組環境下的應用。

但對于微軟平台企業級應用開發而言，則幾乎都需要在域環境下進行應用和部署。

比如微軟的CRM，SharePoint，uc等産品的二次開發、.NET平台為了适應企業環境群組織架構在域模式下的應用開發等，此時可能會涉及到在域控制器、域成員伺服器甚至在“群集”中安裝SQL Server 2008。

上面列舉了SQL SERVER 2008可能的應用部署環境，但無論是哪一種環境下應用，都會碰到為每個<SQL Server服務>配置賬戶的問題。

為什麼要給SQL SERVER 的每一個服務配置賬戶？

這是因為：給SQL SERVER服務配置了不同的賬戶之後，該SQL SERVER服務就會以該賬戶所屬的組來運作，進而通過賬戶去控制該服務通路各種資源的權限。

SQL Server 2008内置了3個賬戶，分别是：

Local Service 本地服務帳戶，

Network Service 網絡服務帳戶，

Local System 本地系統帳戶

1.Local Service 帳戶： 

Local Service本地服務帳戶與 Users 組的成員具有相同級别的資源和對象通路權限

(題外話：什麼是Users賬戶組，參見《Windows六大使用者組功能分析》)。

如果有個别服務或程序的安全性受到威脅，則此賬戶的有限通路權限有助于保護系統的安全性。

以 Local Service 帳戶身份運作的服務将以一個沒有憑據的 Null 會話形式通路網絡資源。

請注意：SQL Server 或 SQL Server 代理服務不支援 Local Service 帳戶。

該帳戶的實際名稱為“NT AUTHORITY\LOCAL SERVICE”。

題外話：Windows憑據（Credential）其實就是指使用者帳戶和密碼。

               Null會話，即空會話，參見《空連接配接》一文。

2.Network Service 帳戶： 

Network Service 網絡服務賬戶比 Users 組的成員擁有更多的對資源和對象的通路權限。

以 Network Service 帳戶身份運作的服務将使用計算機帳戶的憑據通路網絡資源。

該帳戶的實際名稱為“NT AUTHORITY\NETWORK SERVICE”。

3.Local System 帳戶： 

Local System 本地系統賬戶是一個具有高特權的内置帳戶。

它對本地系統有許多權限并作為網絡上的計算機。

該帳戶的實際名稱為“NT AUTHORITY\SYSTEM”。

---------------------------------------------------------------------------------------------------------------------------

在實際應用中，

1.若在工作組環境下安裝SQL Server 2008，允許使用的賬戶包括：

①本地使用者帳戶(注意不是Local Service本地服務賬戶！)、

②内置賬戶（Network Service網絡服務賬戶、Local System本地系統賬戶等）。 

2.若在域環境上(包括成員伺服器)安裝 SQL Server 2008，

(注意：出于安全方面的考慮，Microsoft 建議不要将 SQL Server 2008 安裝在域控制器上)

雖然SQL Server 安裝程式不會阻止在作為域控制器的計算機上進行安裝，但存在以下限制：

①可使用的賬戶受限

在域控制器上，無法在<Local Service本地服務帳戶>或<Network Service網絡服務帳戶>下運作 SQL Server 服務。此時用的賬戶一般是域賬戶和<Local System本地系統賬戶>。 

②将 SQL Server 安裝到計算機上之後，無法将此計算機從域成員更改為域控制器。

必須先解除安裝 SQL Server，然後才能将主機計算機更改為域控制器。 

③在群集節點用作域控制器的情況下，不支援 SQL Server 故障轉移群集執行個體。

④SQL Server 安裝程式不能在隻讀域控制器上建立安全組或設定 SQL Server 服務帳戶。在這種情況下，安裝将失敗。

--------------------------

總之，通過給不同的SQL SERVER 服務配置不同的賬戶，就可以控制其權限，進而限制可通路的資源，并且有助于系統的安全運作。

沒有整理與歸納的知識，一文不值！高度概括與梳理的知識，才是自己真正的知識與技能。 永遠不要讓自己的自由、好奇、充滿創造力的想法被現實的架構所束縛，讓創造力自由成長吧！ 多花時間，關心他（她）人，正如别人所關心你的。理想的騰飛與實作，沒有别人的支援與幫助，是萬萬不能的。

    本文轉自wenglabs部落格園部落格，原文連結：http://www.cnblogs.com/arxive/p/5768398.html，如需轉載請自行聯系原作者