-
t_yamatoya
- 50741
- 0
- 6
- 0
-
- いいね!0
Hiroaki SHIBUKI
@hidori
@normalian @kkamegawa アカウントの expire は笑い話で済むけど、ホントに気をつけるべきはセキュリティ的な面です。例えば Administrator で .bat 動かしてたとして、バッチ書き換えられたら簡単にシステムを再起不能にできちゃいます。
2011-09-18 22:53:45
Masayuki Ozawa
@Masayuki_Ozawa
@statemachine 私は、UsersグループにSQL Serverのサービス用のユーザーを作って「ボリュームの保守タスクを実行」と「メモリ内のページのロック」の権限を付けていますね~。
2011-09-18 22:55:19
kkamegawa
@kkamegawa
@hidori @normalian ちなみにもっといけば、NTFSのセキュリティをどーすんのよって話が普通に出てきます。たとえばSQL Server 2008以降で使えるFILESTREAMとか。
2011-09-18 22:55:45
kkamegawa
@kkamegawa
@hidori @normalian ちなみにもっといけば、NTFSのセキュリティをどーすんのよって話が普通に出てきます。たとえばSQL Server 2008以降で使えるFILESTREAMとか。
2011-09-18 22:55:45
Hiroaki SHIBUKI
@hidori
@kkamegawa @normalian 有効化したことない (^^; > FILESTREAM 次版でまた似たような違うの?入りませんでしたっけ?
2011-09-18 22:57:28
Kazuhiko Kikuchi
@kazuk
@hidori @normalian @kkamegawa DBの実行アカウントやられたらどうせ終わりというのもあったりして
2011-09-18 22:58:08
kkamegawa
@kkamegawa
@hidori あーDenaliのその辺は知らないっす。MCPの試験受けるのに勉強しただけw。でもラージオブジェクト使うとき便利そうだからちょっと押さえておきたい。
2011-09-18 22:58:51
Kazuhiko Kikuchi
@kazuk
とある所の SQL Server が Administrator で動いてるのは DB 専用機が同一構成で2台ある、ADが無い、ドメコンが無い、使えるコレでやっちゃえばいいか→DBミラーリングするとアカウント合せなきゃムニャムニャ→さくっとみんなAdminで動かしちゃえという…
2011-09-18 23:02:16
Hiroaki SHIBUKI
@hidori
だから「DBの実行アカウントは Admin でいいじゃん」とはならない RT @kazuk @hidori @normalian @kkamegawa DBの実行アカウントやられたらどうせ終わりというのもあったりして
2011-09-18 23:07:34
こすもす.えび
@kosmosebi
@kkamegawa OSの一部として~はCOM+とかDCOM触っててよく死亡してたので敏感ですw 特権まわりはややこしいですね
2011-09-18 23:10:02
FUJIWARA, Yusuke
@yfakariya
W2k8で追加されたサービスの仮想アカウントとSQL Server周りでのノウハウとかないんだろうか…… http://t.co/6aFOFQ1K
2011-09-18 23:26:04
kkamegawa
@kkamegawa
@yfakariya Expressとか単にデータアクセスの評価で使うだけならNetwork Serviceで問題ないです。ただ、SQL Server Agentを併用したり実ファイルアクセスしようとするとはまり道が…
2011-09-18 23:35:33
FUJIWARA, Yusuke
@yfakariya
@kkamegawa いや、仮想サービスアカウントってどのくらい使えるのかなぁって思っていただけだったりします。FILESTREAMだけならサービス固有のSIDもありかなぁと思います。実際みなさんどうなのかなと。
2011-09-18 23:39:34
kkamegawa
@kkamegawa
@yfakariya もうこの辺は実運用する人ととことん付き合って設計しないとダメな領域じゃないかなと思っています。明らかにファイルアクセスがないようなサービスなら何も考えなくていいんですが、SQL Serverはね…。
2011-09-18 23:41:42