Chapter 1 Securing Your Server and Network(1):选择SQL Server业务经理

原版的：http://blog.csdn.net/dba_huangzj/article/details/37924127  ，专题文件夹：http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者允许，不论什么人不得以“原创”形式公布。也不得已用于商业用途。本人不负责不论什么法律责任。

前言：

SQL Server是一个Windows 服务，以某个Windows用户或系统用户权限执行在Windows操作系统上。选择合适的帐号执行SQL Server是非常重要的。本系列文章仅仅关注安全性方面。

选择合适的帐号之所以非常重要。当中一个原因是假设权限不恰当，用户（client）能够通过SQL Server对Windows OS或其它资源进行非预期使用。

实现：

首次选择帐号发生在安装过程中，可是在安装过后能够更改。怎样安装SQL Server超出本文范围。所以这里跳过安装过程中选择帐号部分。在安装完成之后，能够依据以下步骤实现。

实现步骤：

1. 在命令行输入：services.msc 打开服务管理器。找到SQL Server服务，如图：

2. 右键这个服务。选择【属性】，并查看当前执行帐号 ：

3. 打开SQL Server 配置管理器，找到SQL Server相应实例名的选项，本人机上有两个实例，一个是2008R2。一个是2012，2012为命名实例，所以选择SQL Server(SQL2012)这个服务，并右键选择【属性】。如图：

4. 打开【属性】页之后，选择【登录】页。如图：

5. 选择【内置帐户】。下拉框中有三种可选项，兴许部分将介绍这些帐号：

6. 当改动了帐号之后，点击【确定】button。会提示须要重新启动SQL Server服务。点击【是】。然后重新启动服务，因为改动执行帐号必须重新启动服务，所以假设在正式环境下。须要慎重，而且计划性地改动。

7. 至此。我们演示了怎样改动SQL Server的执行帐号。接下来将介绍一些原理及注意事项。

原理：

SQL Server服务继承了底层操作系统（即Windows OS）上Windows帐号的权限。它并不一定须要有所在机器上的管理员权限。

仅仅须要有对数据文件/事务日志文件、错误日志文件、备份文件所在文件夹的权限和少量系统权限就可以。

假设在安装SQL Server之后改动服务帐号，强烈建议使用SQL Server配置管理器实现，而不要用Windows 服务控制管理器。因为后者并不能非常好地进行权限管控。

在Windows Server 2008 R2中，在安装SQL Server过程中默认使用虚拟帐号（Virtual Account，将在兴许文章介绍）作为启动帐号。假设在步骤5中选择了【内置帐号】，不须要提供password，这些password由操作系统管理和预设。以下简要介绍一下步骤5中的两类帐号：

• Local System：这是一个拥有所在计算机上管理员权限的Windows 系统帐号，在网络中显示为(<Domain>\<Machine>)形式。假设机器存在于域环境中，能够对这类帐号授予訪问网络资源的权限。
• Network Service：这个帐号相对于Local System而言，有非常多本机权限限制，可是能够和Local System一样訪问网络资源。

你能够选择一个已经创建的Windows或域帐号。以全名形式（(<Domain>\<Account>）作为执行帐号，可是要确保这个帐号没有受到WIndows上的“password过期策略”影响，否者可能在系统执行了一段时间之后因为password过期而导致整个SQL Server服务停止。

作为实践，建议使用实际Windows 帐号替代内置帐号，因为内置帐号被多种服务所共享，权限管控不如实际WIndows 帐号。比方攻击者能够使用管理员权限登录SQL Server，并用xp_cmdshell等外部存储过程进行操作系统级别的攻击。

使用实际Windows帐号能降低这样的情况的发生机会。

很多其它信息：

要允许一个Windows帐号能用于执行一个服务（不是全部帐号都能执行服务）。须要授予【Log on as a service right】（中文为【信任计算机和用户帐户能够执行委派】）权限。过程例如以下：

1. 在本机上。打开管理工具，并选择【Local Security Policy】。中文为【本地安全策略】，Win8 系统能够控制面板→【系统和安全】中找到【Log on as a service right】（中文为【信任计算机和用户帐户能够执行委派】）：

2.加入所需帐号，如图：

假设使用WIndows Server Core版本号，因为没有GUI能够改动，也有可能你不能直接登录目标server用GUI操作（非core版本号）时。能够在另外一些机器上实现配置：

步骤：

1. 打开计算机管理器（compmgmt.msc）右键根文件夹。选择【连接到还有一台计算机】，输入server地址，如图：

成功连接之后会变成下图。注意【计算机管理(本地)】 已经变成了【计算机管理(SQL-A)】：

2.在【服务和应用程序】节点能够找到SQL Server配置管理器，然后就能够进行前面所说的配置了。

创建域用户作为服务帐号：

假设在域环境下，能够在活动文件夹server（Active Directory Server）上通过【Active Directory 管理中心】（Active Directory Administrative Center）上的【Active Directory 用户和计算机】（Active Directory Users and Computers ）工具加入用户到域环境的机器上。

如图：

在创建时，用户选项仅仅勾选下图就可以。除非特殊须要。否则不建议勾选【用户下次登录须更改password】：

假设希望用于服务帐号的password超时，建议使用Windows Server 2008出现的【托管服务帐号】（managed service accounts），这部分在兴许文章介绍。

扩展阅读：

配置 Windows 服务帐户和权限（http://msdn.microsoft.com/zh-cn/library/ms143504.aspx）

下一个：http://blog.csdn.net/dba_huangzj/article/details/37927319