原創(chuàng)地址:http://www.cnblogs.com/jfzhu/p/4007472.html
轉(zhuǎn)載請(qǐng)注明出處
(一)Windows服務(wù)使用的登陸帳號(hào)
Windows服務(wù)只有登錄到某一帳戶的情況下才能訪問(wèn)操作系統(tǒng)中的資源和對(duì)象。服務(wù)一般不要更改默認(rèn)的登錄帳戶,否則可能導(dǎo)致服務(wù)失敗。如果選定帳戶沒(méi)有足夠的權(quán)限,Microsoft 管理控制臺(tái)(MMC)的服務(wù)管理單元將自動(dòng)為該帳戶授予登錄所管理計(jì)算機(jī)中服務(wù)的用戶權(quán)限。Windows Server 的服務(wù)可以用域帳戶或者三個(gè)內(nèi)置的本地帳戶作為各系統(tǒng)服務(wù)的登錄帳戶,三個(gè)內(nèi)置帳戶沒(méi)有密碼:
(1) 本地系統(tǒng)帳戶(Local System):本地系統(tǒng)帳戶功能強(qiáng)大,它可對(duì)系統(tǒng)進(jìn)行完全訪問(wèn)
(2) 本地服務(wù)帳戶(NT AUTHORITY/Local Service)
(3) 網(wǎng)絡(luò)服務(wù)帳戶(NT AUTHORITY/Network Service)
系統(tǒng)中絕大多數(shù)的服務(wù)都是使用上述三個(gè)內(nèi)置本地帳戶作為登陸帳戶。
(二)Managed Service Account
在一些情況下使用域帳戶和內(nèi)置帳戶存在一些問(wèn)題,假設(shè)SQL Server的服務(wù)使用的是Local System帳號(hào),那么其他使用Local System帳號(hào)的服務(wù)都可以連接到SQL Server數(shù)據(jù)庫(kù);如果使用的是域帳戶,那么域帳戶的密碼在更改后,還需要在services.msc中手動(dòng)相應(yīng)更改這些服務(wù)的登陸帳戶密碼;如果服務(wù)所使用的域帳戶的密碼設(shè)置為永不過(guò)期,又會(huì)留下系統(tǒng)安全隱患,所以從Windows Server 2008 R2和Windows 7開(kāi)始,一個(gè)新功能Managed Service Account(托管服務(wù)帳戶)應(yīng)運(yùn)而生。托管服務(wù)帳戶的密碼由系統(tǒng)生成,每30天更改一次,使用托管服務(wù)帳戶作為Windows服務(wù)的登陸帳戶不需要設(shè)置密碼。托管服務(wù)帳戶要只能綁定在一臺(tái)計(jì)算機(jī)上使用。為了將不同的Windows服務(wù)隔離開(kāi),一個(gè)托管服務(wù)帳戶應(yīng)該只給一個(gè)服務(wù)來(lái)使用。
(三)SQL Server 2012中的Managed Service Account
SQL Server 2012為每個(gè)SQL Server相關(guān)的服務(wù)都創(chuàng)建了一個(gè)托管服務(wù)帳戶(SQL Server Browser和Analysis Service除外。如何安裝SQL Server,請(qǐng)參見(jiàn)《Step by step SQL Server 2012的安裝》)。
SQL Server所使用的托管服務(wù)帳戶命名規(guī)范如下表
Service Name | Instance | Service Account Naming Convention |
| Database Engine | Default | MSSQLServer |
| Agent Service | Default | SQLSERVERAgent |
| Reporting Server | Default | ReportServer |
| Analysis Service | Default | MSSQLServerOLAPService |
| Fulltext Service | Default | MSSQLFDLauncher |
| Database Engine | InstanceName | MSSQL$InstanceName |
| Agent Service | InstanceName | SQLAgent$InstanceName |
| Reporting Server | InstanceName | ReportServer$InstanceName |
| Analysis Service | InstanceName | MSOLAP$InstanceName |
| Fulltext Service | InstanceName | MSSQLFDLauncher$InstanceName |
| Integration Service | Not applicable | MSDtsServer110 |
檢查一下,SQL Server中,Database Engine和SQL Server Agent所使用的服務(wù)帳戶都被賦予了Sa角色。
總結(jié):
(1) 在以前的系統(tǒng)中,Windows服務(wù)可以使用域帳戶,也可以使用三個(gè)內(nèi)置的本地帳戶作為登陸帳戶。這三個(gè)本地帳戶分別為 Local System、NT AUTHORITY/Local Service 和 NT AUTHORITY/Network Service。選定Windows服務(wù)登陸帳戶時(shí),該帳戶可以不具有任何權(quán)限,MMC的服務(wù)管理單元將自動(dòng)為該帳戶授予登錄所管理計(jì)算機(jī)中服務(wù)的用戶權(quán)限。
(2) 從Windows 7和Windows 2008 R2開(kāi)始出現(xiàn)了Managed Service Account,使用這種類型的帳戶,系統(tǒng)可以自動(dòng)為你處理帳戶密碼。
(3) SQL Server 2012為每個(gè)SQL Server相關(guān)的服務(wù)都創(chuàng)建了一個(gè)托管服務(wù)帳戶(SQL Server Browser和Analysis Service除外)。
新聞熱點(diǎn)
疑難解答
圖片精選
