使用域管理员作为SQL Windows身份验证登录是否明智?
答案 0 :(得分:3)
没有。也许是本地管理员:是的:从不管理域名管理员
例如,xp_cmdshell将允许完全控制AD和您的环境。 CLR代码也可以这样做。虽然默认情况下禁用了这些功能,但您无法依靠它来保护整个网络。
编辑:
以域管理员身份登录用户与使用具有相同帐户的Exchange或类似用户没有什么不同。对于SQL Server。由于所有权限都是在SQL Server中定义的,因此不会赋予或暗示额外的权限。
因此,如果您只有一个“SQL Server Admin”组作为sysadmin,并且域和本地管理员不在此组中或设置为登录,则他们将根据其登录获得正常的用户权限。或者他们甚至无法连接。
当然,作为域管理员或企业管理员,他们可以将自己添加到“SQL Server管理员”组......但这需要额外的步骤并将您的系统管理员限制为正确的管理员组。
毕竟,你不会让我在你的Exchange服务器附近作为SQL God ......
答案 1 :(得分:3)
我认为有些帖子假设您的意思是在域管理员帐户下运行SQL Server服务(我同意这将是一个安全漏洞),但正如您在澄清中所说,它只是为了记录在对数据库做的事情,我没有看到它的问题....只要有问题的用户(我猜这是你在这里),知道不要删除生产数据库等。!
您需要对安装执行某些操作需要DBA priveleges,如果您通过域管理员获得这些内容,那么它会有什么不同?
答案 2 :(得分:1)
一个。如果你没有安全问题 - 那没关系。
湾如果你连接到互联网,你不应该。如果您使用的应用使用域管理身份验证,则有人可以使用sql代码中的漏洞攻击您的域。或者,如果有人可以访问您的管理机器。
℃。域管理员和sql server admin之间没有联系 - 那么为什么呢?
要明确 - 这不明智!
答案 3 :(得分:0)
在我看来,我不会使用管理员帐户来管理任何管理帐户(这是我的Linux背景告诉我不应该使用root帐户)。
答案 4 :(得分:0)
这很大程度上取决于你的规模和安全实践。它确实显示出安全风险,但是这个结果是明智的还是取决于设置的其余部分。