none
SQL server 的啟動帳號的選擇!

    問題

  • 請問一下:

        我是用sql server 2005 ,有AD環境,在啟動這個service的選擇,是要選擇那一項?這幾項的差別,是在那邊呢?

         謝謝回答。

    2006年12月18日 上午 07:40

解答

  • 既然您的環境有網域,便可以指定網域使用者帳號來啟動 SQL Server 服務。由於啟動 SQL Server 服務不需要管理員帳號權限,因此建議僅給予網域使用者帳戶最小權限即可。
    如果選取「使用內建系統帳戶」選項並指定「本機系統」,如此一來就不需要密碼便可連接到相同電腦上 SQL Server 的本機系統帳戶。
    不建議對 SQL Server 或 SQL Server Agent 服務使用「網路服務」帳號,改用「本機使用者」「網域使用者」帳戶更適合來啟動這些 SQL Server 服務。「網路服務」帳號是一個特殊的內建帳戶,類似於一個已驗證的使用者帳戶,而以網路服務帳戶執行的服務是使用電腦帳戶的認證來存取網路之資源。

    2006年12月18日 下午 03:32
    版主

所有回覆

  • 既然您的環境有網域,便可以指定網域使用者帳號來啟動 SQL Server 服務。由於啟動 SQL Server 服務不需要管理員帳號權限,因此建議僅給予網域使用者帳戶最小權限即可。
    如果選取「使用內建系統帳戶」選項並指定「本機系統」,如此一來就不需要密碼便可連接到相同電腦上 SQL Server 的本機系統帳戶。
    不建議對 SQL Server 或 SQL Server Agent 服務使用「網路服務」帳號,改用「本機使用者」「網域使用者」帳戶更適合來啟動這些 SQL Server 服務。「網路服務」帳號是一個特殊的內建帳戶,類似於一個已驗證的使用者帳戶,而以網路服務帳戶執行的服務是使用電腦帳戶的認證來存取網路之資源。

    2006年12月18日 下午 03:32
    版主
  •  Alex Chuo 寫信:

    既然您的環境有網域,便可以指定網域使用者帳號來啟動 SQL Server 服務。由於啟動 SQL Server 服務不需要管理員帳號權限,因此建議僅給予網域使用者帳戶最小權限即可。
    如果選取「使用內建系統帳戶」選項並指定「本機系統」,如此一來就不需要密碼便可連接到相同電腦上 SQL Server 的本機系統帳戶。

    =>你的意思是說,同樣電腦的另一個instance嗎?
    不建議對 SQL Server 或 SQL Server Agent 服務使用「網路服務」帳號,改用「本機使用者」「網域使用者」帳戶更適合來啟動這些 SQL Server 服務。「網路服務」帳號是一個特殊的內建帳戶,類似於一個已驗證的使用者帳戶,而以網路服務帳戶執行的服務是使用電腦帳戶的認證來存取網路之資源。

    那如果是用,本機系統的話,就是怕不同instance的sql server 直接連接嗎?

        謝謝回答。

    2006年12月19日 上午 01:19
  • 不好意思,不懂您的問題是什麼,可否再說明、解釋一下呢?

    不同 instance 的 SQL Server 可以使用同一帳號來啟動,即使所有 instance 的 SQL Server 都使用同一帳號來啟動,也並不一定可以存取另外一個 instance 的 SQL Server,原因在於該 SQL Server 是否賦予啟動 instance 帳號連線與存取的權限。

    2006年12月19日 上午 02:50
    版主
  • Hello Alex:

    我的環境是A=SQL2005 + B=SQL2000(都有加入網域)。

    A與B的MSSQL Service and SQL Agent Service都使用domain account啟動,此domain account對A與B有本機最高管理者權限。

    有從A push transational replication to B。

    現在遇到一個問題,發現有時會出現publication can not connect subscription(A can not connect B),已排除網路問題,經查當發生前述connect issue時,該domain account都是鎖定的。

    請教:

    是不是這種架構,若是啟動帳戶lock就會影響到replication,當replication沒有交易時還OK,若是有交易,replication要運作會去用到MSSQL Service and SQLAgent Service,而這時若是啟動帳戶lock,則replication會failed,甚至整個MSSQL會crash(需要unlock啟動帳戶and restart MSSQL)

    還請幫忙一下........

    MIS

    2009年1月13日 下午 01:48
  • Yes you'll get connection error if service account is locked. Is it password issue?

    2009年1月13日 下午 03:09
  •  rmiao 寫信:

    Yes you'll get connection error if service account is locked. Is it password issue?

    請問"Is it password issue"是指有人在try嗎?

    2009年1月14日 上午 12:52
  •  misguy 寫信:

    Hello Alex:

    我的環境是A=SQL2005 + B=SQL2000(都有加入網域)。

    A與B的MSSQL Service and SQL Agent Service都使用domain account啟動,此domain account對A與B有本機最高管理者權限。

    有從A push transational replication to B。

    現在遇到一個問題,發現有時會出現publication can not connect subscription(A can not connect B),已排除網路問題,經查當發生前述connect issue時,該domain account都是鎖定的。

    請教:

    是不是這種架構,若是啟動帳戶lock就會影響到replication,當replication沒有交易時還OK,若是有交易,replication要運作會去用到MSSQL Service and SQLAgent Service,而這時若是啟動帳戶lock,則replication會failed,甚至整個MSSQL會crash(需要unlock啟動帳戶and restart MSSQL)

    還請幫忙一下........

    MIS

     

    甚至整個MSSQL會crash ===> 是指B,會有以下error in SQL log

    "SQL Server is terminating due to 'stop' request from Service Control Manager."

    這時確實啟動帳戶是lock

    但是A卻不會(一樣用此domain account啟動MSSQL Service and SQL Agent Service)

    還請各位高手幫忙.......

     

    2009年1月14日 上午 02:05
  • It's possible someone tried to logon with that account but typed wrong password, domain controller will lock it after certain number of retry based on security policy. You can set policy for service account to disable interactive login. 

    2009年1月14日 下午 01:55
  •  rmiao 寫信:

    It's possible someone tried to logon with that account but typed wrong password, domain controller will lock it after certain number of retry based on security policy. You can set policy for service account to disable interactive login. 

    disable interactive login  

    Do you mean disable this setting to pervent anyone from remote desktop login?

    or

    it can prevent any type login?

    using this account

    2009年1月15日 上午 02:08
  • Disable any type of login, the account should be used to start service only.

     

    2009年1月15日 下午 02:37