none
Cuenta de Servicio SQL 2012 RRS feed

  • Pregunta

  • Estimados.

    Utilizaré 1 cuenta de dominio para el motor y el agente para un SQL 2012 Enterprise.

    - Dicha cuenta de dominio, debe pertenecer a algun grupo de Windows 2012 ?

    - Dicha cuenta de dominio debe ser SysAdmin ?

    Alguna otra consideración ?


    DBA SQL Server Santiago/Chile


    • Editado CMAPM martes, 13 de enero de 2015 3:00
    martes, 13 de enero de 2015 2:59

Respuestas

  • Es una practica comun más no es recomendada dsede el punto de vista de seguridad, se recomienda el uso de proxies.

    The account that the SQL Server Agent service runs as must be a member of the following SQL Server roles:

    • The account must be a member of the sysadmin fixed server role.

    • To use multiserver job processing, the account must be a member of the msdb database role TargetServersRole on the master server.

    Aunque le pongas el sysadmin es recomendado el uso de proxies.

    martes, 13 de enero de 2015 14:20

Todas las respuestas

  • Las mejores practicas te van a decir que una cuenta de servicio debe de tener los minimos privilegios posibles en este caso solo ser miembros del dominio y estas deben de ser cambiadas por medio del SSCM (SQL Server Configuration Manager) si lo haces por algo como servicios tendras que darle privilegios manualmente.

    Ahora bien si haces eso recuerda que la cuenta puesta al agent sera la que corra todo, otra practica muy comun aunque no tan buena es hacer sysadmin y dar privilegios de administrador local a la cuenta del agent, para poder leer y escribir en los drives y correr cualquier job sin problemas, lo recomenado es el uso de proxies para esto.

    martes, 13 de enero de 2015 4:16
  • OK, entonces la cuenta de servicio del motor y del agente de SQL 2012 , (dejando de lado lo del proxy) el privilegio mínimo es que sea cuenta de dominio ?

    DBA SQL Server Santiago/Chile

    martes, 13 de enero de 2015 13:42
  • Es correcto Christian.

    Aqui te dejo ya un documento que lo trata más a detalle

    http://msdn.microsoft.com/en-us/library/ms191543.aspx

    Y aqui sobre lo que son las cuentas proxy

    http://technet.microsoft.com/en-us/library/ms189064%28v=SQL.105%29.aspx

    • Editado Enrique AA martes, 13 de enero de 2015 14:04
    martes, 13 de enero de 2015 14:01
  • Gracias Enrique.

    Y para correr los jobs basta con eso tambien ? por ahi lei que debia ser sysadmin la cuenta del agente, o aun estoy dormido.


    DBA SQL Server Santiago/Chile

    martes, 13 de enero de 2015 14:06
  • Es una practica comun más no es recomendada dsede el punto de vista de seguridad, se recomienda el uso de proxies.

    The account that the SQL Server Agent service runs as must be a member of the following SQL Server roles:

    • The account must be a member of the sysadmin fixed server role.

    • To use multiserver job processing, the account must be a member of the msdb database role TargetServersRole on the master server.

    Aunque le pongas el sysadmin es recomendado el uso de proxies.

    martes, 13 de enero de 2015 14:20
  • ok, voy a ver de que trata lo del proxy, jamas lo he utilizado en sql.

    DBA SQL Server Santiago/Chile

    martes, 13 de enero de 2015 14:55