Рекомендуемая установка сервисной учетной записи для SQL Server MS 2005/2008
Если Вы имеете , fail2ban установил Вас, может включить sasl (или иногда названный постфиксом-sasl) в Вашем jail.local (или jail.d), и это должно заставить раздражения уйти.
## for me this is in /etc/fail2ban/jail.d/defaults-debian.conf
[postfix]
enabled = true
[postfix-sasl]
enabled = true
Я обычно создаю единственную доменную сервисную учетную запись и использование это для всех сервисов на все серверы. Мое предложение состояло бы в том, чтобы сделать одну из двух вещей:
Создайте единственную доменную сервисную учетную запись, которая используется для всех сервисов на все серверы.
Создайте доменную сервисную учетную запись для всех сервисов на каждый сервер, таким образом, у Вас будет отдельная сервисная учетная запись для каждого сервера вместо четырех сервисных учетных записей для каждого сервера.
-
1Мое единственное беспокойство с этим подходом является вращением пароля. Так как мы обязаны изменять pw каждые 45 дней, если я изменяю его на учетной записи домена, я должен изменить его на каждом сервере в то время. – BoxerBucks 2 June 2010 в 15:55
-
2Да Вы были бы. Сервисные учетные записи являются одной из тех раздражающих вещей, которые придумывают вращения безопасности пароля. Если it' s большая стычка Вы могли возможно видеть, могли ли сервисные учетные записи быть на более длительном вращении. Может быть некоторое стороннее программное обеспечение для такого рода вещи также, но I' ve никогда не изучал это. – Sean Howat 2 June 2010 в 17:11
-
3К сожалению, существуют обязательные соображения безопасности, у нас есть короткое расписание вращения пароля. Таким образом, я предполагаю that' s компромисс. Используйте много сервисных учетных записей для большего количества детализированных тактовых сигналов изменения, используйте один для вращения пароля большого взрыва. Я просто задавался вопросом, существует ли какая-либо другая причина для, или если кто-либо еще методы, с помощью отдельных сервисных учетных записей на машину на сервис. – BoxerBucks 2 June 2010 в 18:12
-
4Существуют сторонние утилиты для этого типа вещи. Here' s всего один от поиска Bing: toolsite.liebsoft.com/sam_features.htm – joeqwerty 3 June 2010 в 03:14
Если Ваша AD схема в 2 008 R2, и SQL-серверами является также R2, можно хотеть исследовать Управляемые Сервисные учетные записи. (похоже, что это может использоваться, если Вы находитесь на более ранних версиях, но это походит на большее количество боли, чем это стоит),
Можно настроить запланированные и автоматические изменения пароля, преобразовать существующие сервисные учетные записи, которые будут управляться, установите истечение учетной записи, создайте их на домене или локально... Похоже, что учетным записям затем генерируют новые пароли для них по словам участника Домена доменной политики: Максимальный возраст пароля учетной записи машины под Локальными Опциями Policy\Security.
мы выполняем всю нашу SQL Services в соответствии с учетной записью администратора домена, наша политика сетевой безопасности является таким способом, которым мы должны часто изменять пароль администратора домена, одна альтернатива, которую я имею, - то, что для создания пользователя домена с административными привилегиями, это желательное или если я использую администраторскую учетную запись только или являюсь там любыми альтернативами с лучшей безопасностью. дайте свою обратную связь.
Отношения Praveen