none
Dúvida sobre conta de serviço RRS feed

  • Pergunta

  • Olá amigos. Como vão?

    Eu tenho uma dúvida no momento da instalação do MS SQL Server 2005. No momento da configuração, ele solicita para que seja escolhido o "cara" que irá subir o serviço do MS SQL Server, que são:

    Use the Built-in System account
    - Local System
    - Network Service

    Até onde pesquisei, a conta local ele permite que o sql server seja isolado da comunicação entre outros servidores. E já a conta de network possibilita que o MS SQL Server se comunique.

    Gostaria muito da ajuda para entender esses dois serviços.

    Um forte abraço


    Clayton Santos
    clayton1745@gmail.com
    http://clayton1745.spaces.live.com

    ITIL|MCTS
    • Movido Gustavo Maia Aguiar quinta-feira, 19 de agosto de 2010 12:55 (De:SQL Server - Infra Geral)
    sexta-feira, 13 de agosto de 2010 18:20

Respostas

  • Boa noite Calyton, tudo bem?

    Existem 3 tipos de contas no SO:

    Local System;

    Loca Service;

    e, Network Service.

    As contas local service e network service, foram criadas para resolver alguns exploits de segurança nos sistemas xp e 2k3. A conta system, era a principal conta dos serviços do windows. Porém, esta é uma conta com grandes poderes, onde através de alguns códigos maliciosos, era possível assumir um serviço com esta conta e tomar poderes sobre o servidor. Ou seja, estas contas possuem menos poderes do que o usuário Local System. Depois da criação destes usuários, os serviços do windows que não precisavam de acesso admin, foram redefinidos para estes outros usuários.

    As contas Local Service e Network Service, possuem o mínimo acesso sobre o computador local e basicamente os mesmos direitos. A diferença é que a conta Newtork possui direito de autenticação sobre outros computadores e a Local Service não.

    A conta Loca System, possui os direitos que os usuários Local e Network Service possuem e mais alguns direitos (acessos a unidades e níveis que as contas local service e network service não possuem). Ou seja, a conta Loca System, possui acesso a rede, ele é administrador da máquina local, roda sobre serviços que devem possuir acesso privilegiado e apresenta o serviço na rede.

    O recomendado é que não se use uma conta tão poderosa para o serviço de SQL.

    Mais detalhes sobre as contas você pode obter pelo link do Bol: ms-help://MS.SQLCC.v10/MS.SQLSVR.v10.en/s10sq_GetStart/html/309b9dac-0b3a-4617-85ef-c4519ce9d014.htm#Use_startup_accounts

    Recomendações de direitos contas para o sql, link msnd: http://msdn.microsoft.com/en-us/library/ms191543.aspx

    Security planning guide under system accounts: http://www.microsoft.com/downloads/details.aspx?FamilyId=F4069A30-01D7-43E8-8B30-3799DB2D9C2F&displaylang=en

    Se ainda possuir alguma dúvida, favor postar.

    Atenciosamente

    Dobereiner Miller Silva Rodrigues

    sqlinternal.blogspot.com


    Aquilo que sou é aquilo que me foi outorgado
    • Marcado como Resposta Clayton Santos sexta-feira, 20 de agosto de 2010 18:15
    sexta-feira, 13 de agosto de 2010 23:33

Todas as Respostas

  • Boa noite Calyton, tudo bem?

    Existem 3 tipos de contas no SO:

    Local System;

    Loca Service;

    e, Network Service.

    As contas local service e network service, foram criadas para resolver alguns exploits de segurança nos sistemas xp e 2k3. A conta system, era a principal conta dos serviços do windows. Porém, esta é uma conta com grandes poderes, onde através de alguns códigos maliciosos, era possível assumir um serviço com esta conta e tomar poderes sobre o servidor. Ou seja, estas contas possuem menos poderes do que o usuário Local System. Depois da criação destes usuários, os serviços do windows que não precisavam de acesso admin, foram redefinidos para estes outros usuários.

    As contas Local Service e Network Service, possuem o mínimo acesso sobre o computador local e basicamente os mesmos direitos. A diferença é que a conta Newtork possui direito de autenticação sobre outros computadores e a Local Service não.

    A conta Loca System, possui os direitos que os usuários Local e Network Service possuem e mais alguns direitos (acessos a unidades e níveis que as contas local service e network service não possuem). Ou seja, a conta Loca System, possui acesso a rede, ele é administrador da máquina local, roda sobre serviços que devem possuir acesso privilegiado e apresenta o serviço na rede.

    O recomendado é que não se use uma conta tão poderosa para o serviço de SQL.

    Mais detalhes sobre as contas você pode obter pelo link do Bol: ms-help://MS.SQLCC.v10/MS.SQLSVR.v10.en/s10sq_GetStart/html/309b9dac-0b3a-4617-85ef-c4519ce9d014.htm#Use_startup_accounts

    Recomendações de direitos contas para o sql, link msnd: http://msdn.microsoft.com/en-us/library/ms191543.aspx

    Security planning guide under system accounts: http://www.microsoft.com/downloads/details.aspx?FamilyId=F4069A30-01D7-43E8-8B30-3799DB2D9C2F&displaylang=en

    Se ainda possuir alguma dúvida, favor postar.

    Atenciosamente

    Dobereiner Miller Silva Rodrigues

    sqlinternal.blogspot.com


    Aquilo que sou é aquilo que me foi outorgado
    • Marcado como Resposta Clayton Santos sexta-feira, 20 de agosto de 2010 18:15
    sexta-feira, 13 de agosto de 2010 23:33
  • Completando a explicação do amigo acima, eu costumo criar uma conta de usuário só para o SQL Server.

    Só crio uma conta qualquer com uma senha forte, não dou nenhuma permissão para a conta e no momento da instalação coloco esse conta que criei.

    A instalação do SQL Server irá adicionar automaticamente SOMENTE aquilo que precisa para o funcionamento correto do SQL Server, assim o risco de segurança em função de uma conta de serviço cai a zero.

    Agora em um Cluster é outro esquema, a conta tem que ser Administrador de Domínio (até onde eu sei).

    Att,

    Ricardo Muramatsu


    http://ricardomura.spaces.live.com
    segunda-feira, 16 de agosto de 2010 20:37
  • Complementado os colegas acima.

    Para Cluster a conta não precisa ser domain Admin. e no SQL Server ela só precisa está na role Public haja vista que o serviço Cluster precisa saber apenas se o serviço está on-line ou não.

    http://support.microsoft.com/kb/254321/pt-br

     

    Leivio Fontenele - www.dbaninja.com

     


    MCP | MCTS | MCITP - DBA SQL Server Sênior www.dbaninja.com | www.cleverdata.com.br
    quarta-feira, 18 de agosto de 2010 20:21
  • Estranho, montei um Cluster Win2008 R2 + SQL 2008 R1 e só funcionou após usar uma conta Domain Admin.

    Mas vou dar uma olhada no link.

    Att,

    Ricardo

    Editado:

    Ver a resposta acima desta, está mais correta e é a indicada.


    http://ricardomura.spaces.live.com
    quarta-feira, 18 de agosto de 2010 20:42
  • Complementado os colegas acima.

    Para Cluster a conta não precisa ser domain Admin. e no SQL Server ela só precisa está na role Public haja vista que o serviço Cluster precisa saber apenas se o serviço está on-line ou não.

    http://support.microsoft.com/kb/254321/pt-br

     

    Leivio Fontenele - www.dbaninja.com

     


    MCP | MCTS | MCITP - DBA SQL Server Sênior www.dbaninja.com | www.cleverdata.com.br


    Leivio,

    Lí a documentação no link que você passou, e você tem razão.

    Clayton,

    Siga a recomendação do amigo Leivio.


    http://ricardomura.spaces.live.com
    quinta-feira, 19 de agosto de 2010 14:39
  • Olá Miller, como vai?

    Ótima explicação. Muito boa mesmo!

    Muito obrigado

    Abraço


    Clayton Santos
    clayton1745@gmail.com
    http://clayton1745.spaces.live.com

    ITIL|MCTS
    sexta-feira, 20 de agosto de 2010 18:16