Y a-t-il un impact négatif sur les performances pour utiliser le même compte de service et le même compte d'agent pour exécuter respectivement SQL Server et SQL Agent pour toutes les instances de serveur SQL exécutées dans une petite entreprise de 35 serveurs par exemple? La plus grande base de données est de 0,5 Go. toutes suggestions sont les bienvenues. Je vous remercie.
Y a-t-il un impact négatif sur les performances pour utiliser le même compte de service et le même compte d'agent pour exécuter respectivement SQL Server et SQL Agent pour toutes les instances de serveur SQL exécutées dans une petite entreprise de 35 serveurs par exemple?
Non. Les comptes de service n'affectent en rien les performances. Tout est question de sécurité!
Dans le livre blanc sur les meilleures pratiques de sécurité de SQL Server 2012 (avertissement: word doc) :
Lors du choix des comptes de service, tenez compte du principe du moindre privilège . Le compte de service doit avoir exactement les privilèges dont il a besoin pour faire son travail et plus de privilèges.
Vous devez également prendre en compte l'isolement des comptes ; les comptes de service ne doivent pas seulement être différents les uns des autres, ils ne doivent pas être utilisés par un autre service sur le même serveur.
Si vous exécutez Windows Server 2008 R2 et SQL Server 2012 et versions ultérieures, le mieux est d'utiliser
Comptes virtuels ou
Les comptes virtuels sont des comptes locaux gérés qui sont automatiquement provisionnés et gérés. Dans SQL Server 2012, il s'agit du compte de service par défaut spécifié lors de l'installation. Il peut accéder au réseau. Un compte de service virtuel a un nom connu sous la forme de NT SERVICE \ et peut accéder au réseau à l'aide des informations d'identification \ $.
comptes de services gérés
Un compte de service géré est un type spécial de compte de domaine qui peut être attribué à un seul ordinateur et utilisé pour gérer un service. Il doit être provisionné par l'administrateur du domaine avant d'être utilisé. Ce type de compte ne peut pas être utilisé pour se connecter à un ordinateur et fournit une gestion automatique du SPN et des mots de passe, une fois provisionné.
Le vrai problème avec l'utilisation d'un seul compte de service pour tous vos serveurs est: dans quelle mesure voulez-vous être sécurisé? Si quelqu'un est capable de pirater ce compte , les 35 serveurs sont exposés en un seul coup.
Je préfère de loin au moins un compte de service par serveur. Et avoir plusieurs comptes de service pour différentes utilisations est également recommandé pour la sécurité.
Voir: Configurer les comptes et les autorisations des services Windows
Cela offre de nombreuses suggestions sur les comptes de service. C'est à vous, bien sûr, de déterminer combien vous avez besoin ou voulez faire.
Bien sûr, vous pouvez accorder des autorisations locales pour un compte de service sur un autre serveur. Cela lui permettrait d'apporter des modifications en fonction des autorisations que vous avez accordées.
Il n'y a aucun impact négatif sur les performances si vous utilisez le même compte sur tous vos serveurs. Cependant, si un changement se produit sur ce compte, cela affectera tous vos services utilisant ce compte. Vous pouvez envisager différents comptes pour différents environnements (par exemple DEV, TEST, PROD).