在我的组织中,围绕服务帐户存在相互冲突的思想流派。之所以出现这种情况,是因为他们希望部署 SQL Server 的唯一目的是运行 SharePoint 数据库。
一组认为应该为每个服务器应用程序和每个环境(例如生产、UAT/测试、开发)使用不同的服务帐户。因此,在此示例中,每个用于 SharePoint 的 SQL Server 安装都将有自己的用于 prod、UAT 和 dev 的服务帐户。它们的原因是安全和防止环境之间的干扰。
另一个人认为服务帐户应该在生产和测试环境之间共享。因此,对于该示例,将有一个跨 prod、UAT 和 dev 的 SQL Server 服务帐户。(我不确定在不同的服务器应用程序之间共享该帐户。)他们的原因再次是安全性,因为要更改的密码更少并且复杂性降低。
考虑到安全性、正常运行时间和可靠性、防止错误、风险管理等......推荐的方法应该是什么?
谢谢!
我们遵循第一组,它为每个环境和服务器应用程序都有一个单独的服务帐户。
主要原因是安全性,但另一个很好的原因是,如果在测试或开发中完成了一些需要更改安全性的工作,您知道它不会以任何方式影响生产环境。
无论如何,让您的开发和 UAT/测试环境共享相同的服务帐户。但保持生产分开。除了其他答案中已经强调的变更管理问题外,开发和测试人员在正常的事件过程中不应该有任何业务访问生产系统。
当然,安全问题往往会导致您使用每个应用程序/服务的一个帐户。但是,我认为您不需要达到为 prod、UAT 和 dev 提供不同帐户的级别。这意味着在部署应用程序时必须更改配置,这可能是错误的来源。
编辑:我刚刚看到 Bravax 的回答,他提出了一个关于更改开发帐户不影响实时系统的有效观点。