none
Usuário de Serviço SQL Server RRS feed

  • Pergunta

  • Bom dia Galera,
    Mas uma duvida me surgiu agora,
    Bom sei que pelas boas praticas de segurança o usuário do Serviço do SQL deve ter os minimos privilégios,
    Bom alguém saberia dizer quais são os privilégios mínimos tanto para o SQL quanto para no AD ? algum link bom que explique bem esses privilegios.
    Obrigado.
    Att
    Reginaldo Silva
    quinta-feira, 10 de março de 2016 13:09

Respostas

  • Reginaldo, 

    Eu deixo a conta de serviço do SQL Server como Sysadmin, mas não como adm do servidor.

    Neste caso se você quer reduzir ao maximo o poder da conta de serviço, você vai ter que ter um esforço braçal de mapear todos os acessos, ou então criar proxys para executar os jobs, ou colocar os jobs para ser executado com as permissões de quem está criando o job.

    Espero ter ajudado.


    Se a resposta foi útil por favor classifique. Tiago Neves - @tiagolneves - acesse o meu blog http://www.tiagoneves.net

    quinta-feira, 10 de março de 2016 15:07

Todas as Respostas

  • Bom dia Reginaldo,

    Segue 2 textos muito interessantes sobre o assunto.

    Configure Windows Service Accounts and Permissions

    “The SQL Guy” Post #15: Best Practices For Using SQL Server Service Accounts

    The Accidental DBA (Day 4 of 30): SQL Server Installation and Configuration Best Practices


    Se a resposta foi útil por favor classifique. Tiago Neves - @tiagolneves - acesse o meu blog http://www.tiagoneves.net



    • Editado Tiago_Neves quinta-feira, 10 de março de 2016 13:50
    quinta-feira, 10 de março de 2016 13:46
  • Bom dia Tiago,

    Obrigado pela resposta,

    Gostei da explicação do link 'The SQL Guy'.

    Bom mas na verdade eu gostaria de saber mais sobre as permissões dentro do SQL,

    As contas de serviços das minhas instancias, são contas do AD, dentro do SQL Server quais permissões esse usuário precisa ter ?

    Por exemplo as execuções de JOBS são executadas por ele correto ? entao ele precisaria ter acesso nas bases de dados.

    O ponto é, meus usuários do serviços SQL Server estão como Sysadmin, eu quero tirar essas permissões deles e deixar a minima possivel.

    Espero ter sido mais claro..

    Obrigado.

    Att

    Reginaldo Silva

     

    quinta-feira, 10 de março de 2016 15:00
  • Reginaldo, 

    Eu deixo a conta de serviço do SQL Server como Sysadmin, mas não como adm do servidor.

    Neste caso se você quer reduzir ao maximo o poder da conta de serviço, você vai ter que ter um esforço braçal de mapear todos os acessos, ou então criar proxys para executar os jobs, ou colocar os jobs para ser executado com as permissões de quem está criando o job.

    Espero ter ajudado.


    Se a resposta foi útil por favor classifique. Tiago Neves - @tiagolneves - acesse o meu blog http://www.tiagoneves.net

    quinta-feira, 10 de março de 2016 15:07
  • Reginaldo,

    No lado do Windows eu normalmente crio uma conta por exemplo denominada sqlservice e defino a mesma como uma conta de serviço.

    Este mesma conta eu dou acesso no SQL Server como a permissão de connect.


    Pedro Antonio Galvao Junior [MVP | MCC | Microsoft Evangelist | Microsoft Partner | Engenheiro de Softwares | Especialista em Banco de Dados | Professor Universitario | SoroCodigos | @JuniorGalvaoMVP | http://pedrogalvaojunior.wordpress.com]

    quinta-feira, 10 de março de 2016 15:43
    Moderador
  • Entendi Tiago,

    Isso mesmo eu quero tirar o poder do usuario do serviço dentro do SQL,

    Como temos muitas instancias em servidores remotos e a administração desses servidores são por conta de outras pessoas, levando em consideração que o cara la da ponta possa resetar a senha do usuario de serviço, logar no servidor com o usuário e se autenticar dentro do SQL Server, ele será Sysadmin e pode fazer grandes estragos, 

    Bom provavelmente terei que executar as jobs com outro usuário como mencionou..

    Obrigado

    Att

    Reginaldo Silva

    quinta-feira, 10 de março de 2016 16:01
  • Boa tarde Junior Galvao,

    No meu caso minha preocupação nem é tanto o usuário ser admin do Servidor(que tbm estarei estudando para retirar esses privilegios), mas sim ele ser um Sysadmin no SQL Server, como eu expliquei acima para o Tiago...

    Muito obrigado.

    Att

    Reginaldo Silva

    quinta-feira, 10 de março de 2016 16:02
  • Reginaldo,

    Neste caso, aqui fazemos o seguinte, definimos uma conta de usuário específica para cada banco de dados, onde esta conta é exclusiva para acesso a este banco, neste caso, não corremos risco deste login ter acesso a outras áreas e recursos do SQL Server.


    Pedro Antonio Galvao Junior [MVP | MCC | Microsoft Evangelist | Microsoft Partner | Engenheiro de Softwares | Especialista em Banco de Dados | Professor Universitario | SoroCodigos | @JuniorGalvaoMVP | http://pedrogalvaojunior.wordpress.com]

    quinta-feira, 10 de março de 2016 17:19
    Moderador